Aserciones de identidad con la validación de confianza
Si desea que una aplicación o un proveedor del sistema realice una aserción de identidad con la validación de confianza, utilice la infraestructura de inicio de sesión JAAS (Java™ Authentication and Authorization Service), donde se realiza la validación de la confianza en un módulo de inicio de sesión y la creación de credenciales en otro. Estos dos módulos de inicio de sesión personalizado se utilizan para crear una configuración de inicio de sesión JAAS que realiza un inicio de sesión en una aserción de identidad.
- Un módulo de inicio de sesión de asociación de confianza implementado
por el usuario. Este módulo de inicio de sesión realiza la verificación de confianza que
necesite el usuario. Una vez verificada la confianza, el estado de la verificación
de confianza y la identidad de inicio de sesión se deben colocar en una correlación
en el estado compartido del módulo de inicio de sesión, para que el módulo de inicio
de sesión de creación de credenciales pueda utilizar esa información. La correlación
se debe almacenar en la propiedad
com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.state. Las
correlaciones de estados contienen la siguiente información:
- com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.trusted – se establece como true si es de confianza, y como false si no lo es.
- com.ibm.wsspi.security.common.auth.module.IdenityAssertionLoginModule.principal – contiene el principal de la identidad.
- com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.certificates – contiene el certificado de la identidad.
- El módulo com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule
realiza la creación de credenciales. Necesita que la información de estado de
confianza esté en el estado compartido del contexto de inicio de sesión. Este módulo
de inicio de sesión está protegido por los permisos de tiempo de ejecución de la
seguridad de Java 2 para lo siguiente:
- com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.initialize
- com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.login
- com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.trusted – si se establece como true, es de confianza; false si no es de confianza.
- com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.principal – si se utiliza un principal, contiene el principal de la identidad necesaria para iniciar la sesión.
- com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.certificates – si se utiliza un certificado, contiene una matriz de una cadena de certificados que incluye la identidad necesaria para iniciar la sesión.
Si falta el estado, la confianza o la información de identidad, se devuelve WSLoginFailedException. A continuación, el módulo de inicio de sesión realiza un inicio de sesión de la identidad. El sujeto contiene ahora la nueva identidad.