Señal LTPA y LTPA versión 2

La seguridad de servicios web tiene soporte para señales LTPA (versión 1) y LTPA versión 2 (LTPA2). La señal LTPA2, que es más segura que la Versión 1, sólo está soportada por el tiempo de ejecución JAX-WS.

Avoid trouble Avoid trouble: Las sentencias de soporte en este tema se aplican a la implementación de seguridad de servicios web de WebSphere Application Server y no a la implementación de seguridad para la funcionalidad de servicios no web. gotcha

La señal de autenticación Lightweight Third Party Authentication (LTPA) es un tipo específico de señal de seguridad binaria. La implementación de seguridad de servicios web para WebSphere Application Server, Versión 5 y posterior soporta la señal LTPA Versión 1. WebSphere Application Server Versión 7 y posteriores admite la señal LTPA Versión 2 utilizando el entorno de ejecución de JAX-WS.

Aunque se utiliza la misma aserción LTPAToken en la política de LTPA Versión 1 y LTPA Versión 2, el valor valuetype de la señal de Versión 2 es diferente de la versión 1. El valor valuetype se compone del URI y del nombre local. En la tabla siguiente se muestran los valores valuetype para las versiones de señal LTPA cuando se seleccionan como el tipo de señal para los enlaces de conjunto de políticas. Estos valores no son editables.
Tabla 1. Las versiones de señal LTPA y sus valores valuetype. En esta tabla se listan los valores valuetype para las señales LTPA (Versión 1) y LTPA2.
Señal de versión LTPA Valor de Valuetype
LTPA (Versión 1) http://www.ibm.com/websphere/appserver/tokentype/5.0.2/LTPA
LTPA2 http://www.ibm.com/websphere/appserver/tokentype/LTPAv2

Para permitir la interoperatividad entre los servidores que ejecutan versiones diferentes de WebSphere Application Server, de forma predeterminada, el tiempo de ejecución de seguridad de los servicios web de JAX-WS en la Versión 7.0 y posteriores puede utiliza correctamente una señal LTPA Versión 1 cuando el enlace está configurado para que espere una señal LTPA2. Sin embargo, puede configurar el enlace para el tiempo de ejecución JAX-WS de modo que acepte únicamente señales LTPA2. Para obtener más información, consulte la documentación acerca de valores de las señales de generador o consumidor de autenticación.

Si el tiempo de ejecución de seguridad de servicios web recibe una señal con un valor valuetype no reconocido y la cabecera de seguridad SOAP contiene un valor de atributo mustUnderstand igual a '1', el tiempo de ejecución de seguridad de servicios web emitirá un error SOAPFaultException. Si el valor del atributo mustUnderstand es igual a '0', se omitirá la señal.

Si una señal LTPA2 se envía con un valor de atributo mustUnderstand que es igual a '1' a un tiempo de ejecución de la seguridad de servicios web en el que la señal LTPA2 no está soportada, el tiempo de ejecución no reconocerá el valor valuetype de LTPAv2. Por lo tanto, el tiempo de ejecución de recepción emite un error SOAPFaultException. En la tabla siguiente se ilustran estas configuraciones diferentes y sus mensajes de error posibles.
Tabla 2. Configuraciones de señal LTPA . En esta tabla se lista si la señal LTPA Versión 1 es opcional u obligatoria, se muestra el valor del atributo mustUnderstand asociado, se lista su tiempo de ejecución y se proporciona el error SOAPFaultException resultante, si procede.
Tiempo de ejecución Estado de señal LTPA Versión 1 Valor de atributo MustUnderstand Error SOAPFaultException
JAX-RPC Required 1
com.ibm.wsspi.wssecurity.SoapSecurityException: 
WSEC5509E: un símbolo de seguridad cuyo tipo sea 
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA] 
es necesaria.
JAX-RPC Required 0
com.ibm.wsspi.wssecurity.SoapSecurityException: 
WSEC5509E: un símbolo de seguridad cuyo tipo sea 
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA] 
es necesaria.
JAX-RPC Optional 1
com.ibm.wsspi.wssecurity.SoapSecurityException: 
WSEC5502E: Elemento inesperado como elemento de destino: 
s:BinarySecurityToken.
JAX-RPC Optional 0 Ninguno
JAX-RPC No configurado 1
com.ibm.wsspi.wssecurity.SoapSecurityException: 
WSEC5502E: Elemento inesperado como elemento de destino: 
s:BinarySecurityToken.
JAX-RPC No configurado 0 Ninguno
JAX-WS (Paquete de características de servicios web versión 6.1) No configurado 1
CWWSS5502E: El elemento de destino:
s:BinarySecurityToken no se esperaba.
JAX-WS (Paquete de características de servicios web versión 6.1) No configurado 0 Ninguno
JAX-WS (Paquete de características de servicios web versión 6.1) Configurado 1
CWWSS5509E: una señal de seguridad cuyo tipo sea 
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA] 
es necesaria.
JAX-WS (Paquete de características de servicios web versión 6.1) Configurado 0
CWWSS5509E: una señal de seguridad cuyo tipo sea 
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA] 
es necesaria.
Puede configurar el tiempo de ejecución de JAX-WS para generar señales LTPA (Versión 1) o LTPA2. Si configura el generador de señales LTPA de una política de enlace para generar una señal LTPA (Versión 1), debe seguir una de estas indicaciones:
  • Habilite la modalidad de interoperabilidad de inicio de sesión único, disponible en el panel de inicio de sesión único (SSO) en la consola administrativa. Para obtener más información sobre esta opción, consulte la documentación acerca de los valores del inicio de sesión único.
  • Establezca la propiedad personalizada com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 en true para el generador de señales LTPA.
Si no realiza al menos uno de los pasos anteriores, se producirá un error cuando la aplicación, que está conectada a estos enlaces, se inicie.

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_ltpatokens
File name: cwbs_ltpatokens.html