Los módulos de inicio de sesión de señal de seguridad genérico
Los módulos de inicio de sesión genérico de señal de seguridad son módulos de inicio de sesión de JAAS (Java™ Authentication and Authorization Service). Estos módulos de inicio de sesión emiten, validan e intercambian señales de seguridad mediante un servicio de señales de seguridad (STS) externo.
Visión general
La generación de señales de seguridad de servicios web y los procesos de consumo invocan estos módulos de inicio de sesión. El componente de seguridad de servicios web proporciona los módulos de inicio predeterminados para los símbolos comunes como, por ejemplo, los ejemplos siguientes:
- Símbolos de nombre de usuario
- Señales X.509
- Señales Kerberos
- Señales LTPA (Lightweight Third Party Authentication)
- Señales SAML (Security Assertion Markup Language)
- Señales de contexto de seguridad

En la ilustración siguiente se muestra el flujo de información a través del proceso del módulo de inicio de sesión de señal de seguridad genérico.
- El entorno de ejecución del cliente de servicios web hereda la identidad del emisor de llamada.
- El módulo de inicio de sesión de señal de seguridad genérico para el generador de señales envía una solicitud de señal a un servicio WS-Trust utilizando un WS-Trust cliente mediante una solicitud de emisión o validación.
- La señal devuelta o validada se establece en la cabecera de seguridad del mensaje SOAP como una señal de autenticación. Para obtener más información, consulte la documentación acerca de los módulos de inicio de sesión de señal de seguridad genérico para el generador de señales.
- PassTicket se envía al proveedor de servicios como parte del mensaje SOAP.
- El módulo de inicio de sesión de señal de seguridad genérico para el consumidor de señales envía la señal recibida en la cabecera de seguridad del mensaje SOAP dentro de una solicitud a WS-Trust Validate un servicio designado WS-Trust.
- La solicitud puede producir una señal nueva o en una notificación que informa de que la señal enviada se ha validado correctamente.
- Según sea necesario, la señal nueva o validada originalmente se utiliza como señal de llamante para fines de autorización. Para obtener más información, consulte la documentación acerca de la señal de inicio de sesión de seguridad genérico módulos para el consumidor de señales.
PassTicket es una contraseña generada de forma dinámica, de un solo uso y de sustitución. Puede utilizar el PassTicket para autenticarse en un servicio en lugar de enviar la contraseña real.
Ejemplos de uso
El módulo de inicio de sesión de señal de seguridad genérico puede ser muy útil si el intercambio de señales, la correlación de identidades o la autorización para invocar un servicio web de destino son necesarios. La lista siguiente describe algunos escenarios útiles para un módulo de inicio de sesión de señal de seguridad genérico:
- El intercambio de señales con un servidor intermedio
- La señal de seguridad de salida necesaria y la señal de seguridad de entrada son de tipos diferentes.
- El intercambio de señales en el lado del solicitante
- Una correlación de identidades para el solicitante es necesaria antes de invocar un servicio en sentido descendente.
- El intercambio de señales en el extremo receptor
- La correlación de identidades de invocación es necesaria una vez validada la señal.
- La autorización para invocar el servicio de destino
- El módulo de inicio de sesión envía la señal de seguridad de entrada y la dirección de punto final de servicio de destino al servicio WS-Trust. El servicio WS-Trust completa la autorización de nivel de servicio. El servicio WS-Trust comprueba si la invocación de servicio web de destino está autorizada para el principal que está contenido en la señal de autenticación.
Limitaciones
Existen las siguientes limitaciones para los módulos de inicio de sesión genérico:- Puede utilizar la señal, que es procesada por el módulo de inicio de sesión de señal de seguridad genérico, sólo para la autenticación. No puede utilizar la señal como señal de protección para firmar digitalmente y cifrar partes de mensaje.
- Si el proveedor de servicios recibe una señal de intercambio, los módulos de inicio de sesión predeterminados del servidor de aplicaciones del sistema de seguridad de servicios web deben admitir la señal. Para obtener más información, consulte la documentación acerca del módulo de inicio de sesión de señal de seguridad genérico para el consumidor de señales.
- Si el proveedor de servicios recibe una señal que se valida y no se intercambian, la señal recibida debe ser compatibles con los módulos de inicio predeterminados para el sistema de seguridad de servicios web del servidor de aplicaciones.
- Cuando se utiliza una señal de seguridad del sujeto RunAs para validar o intercambiar una señal de seguridad de salida, la señal de seguridad del sujeto RunAs debe ser identificada de forma exclusiva por un valor ValueType de señal. Si varias señales del sujeto RunAs tienen el mismo valor ValueType, el módulo de inicio de sesión no utilizará WS-Trust Validate para intercambiar una señal con el asunto RunAs. En su lugar, los módulos de inicio de sesión utilizan WS-Trust Issue para solicitar una señal que se base en la configuración de la política establecida para el cliente de confianza.