Módulo de inicio de sesión de señal de seguridad genérico para el consumidor de señales

Cuando se recibe un mensaje de servicio web, el servidor de aplicaciones llama al módulo de inicio de sesión de señal de seguridad genérico para el consumidor de señales como parte del proceso de autenticación de seguridad de servicios web.

El módulo de inicio de sesión delega el proceso de validación de señal para el servicio WS-Trust utilizando WS-Trust Validate. El servicio de señal de seguridad WS-Trust procesa la solicitud y devuelve un mensaje RequestSecurityTokenResponse al módulo de inicio de sesión, que puede contener una nueva señal de seguridad o código de estado de validación únicamente. La señal devuelta del servicio de señal de seguridad de WS-Trust o la señal recibida original es la señal del llamante si la señal del llamante es necesaria.

Si la llamada de servicio de confianza devuelve un código de estado no válido o un error, el proceso de validación de señal falla y el módulo de inicio de sesión produce una excepción LoginException .

El módulo de inicio de sesión, y su uso del servicio WS-Trust, permite las acciones siguientes:
  • El intercambio de señales de seguridad cuando las señales de seguridad entrantes o salientes son de tipos diferentes
  • El intercambio de señales de seguridad cuando se correlaciona una identidad con otra
  • La evaluación de comprobaciones de autorización para asegurarse de que los usuarios autenticados pueden invocar el servicio web de destino

El nombre de configuración de inicio de sesión JAAS (Java™ Authentication and Authorization Service) es wss.consume.issuedToken, y el nombre de clase del manejador de devolución de llamada es com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenConsumeCallbackHandler.

Tipos de señales soportadas

La señal de recepción debe tener un valor de ValueType que el servicio de confianza designado puede manejar e intercambiar. El valor ValidType de la señal válido puede ser un tipo de señal conocido que sea compatible con los módulos de inicio de sesión por omisión del sistema. Las señales de entrada válidas pueden ser una señal de nombre de usuario, una señal XML o una señal de seguridad binaria, incluidos los tipos de señal siguientes:
  • Security Assertion Markup Language (SAML) 2.0
  • SAML 1.1
  • Nombre de usuario
  • PassTicket
  • Kerberos
  • LTPA (Lightweight Third Party Authentication)
  • Credencial de Tivoli Access Manager
Sin embargo, si WS-Trust Validate no completa el intercambio de señales y devuelve un código de estado de validación solamente, el tipo de señal de entrada deberá ser de uno de los tipos siguientes:
  • SAML 2.0
  • SAML 1.1
  • Nombre de usuario
  • Kerberos
  • LTPA v2
  • LTPA
Además, el tipo de valor de señal de retorno de la llamada WS-Trust debe ser uno de los tipos de señales anteriores.
Supported configurations Supported configurations:
  • La señal recibida que se envía por la parte solicitante es la señal que se especifica en la política.
  • Puede utilizar esta señal para la autenticación solamente. No puede utilizar esta señal como señal de protección.
sptcfg

Conjuntos de políticas

La implementación del módulo de inicio de sesión de señal de seguridad genérico puede admitir las señales de autenticación admitidas por los módulos de inicio de sesión predeterminados del sistema o por un módulo de inicio de sesión personalizado. La implementación del módulo de inicio de sesión de señal de seguridad genérico no añade un nuevo tipo de señal de seguridad en el conjunto de políticas. Por ejemplo, si tiene previsto utilizar un módulo de inicio de sesión de señal de seguridad genérico para generar una señal de nombre de usuario, puede crear un conjunto de políticas que especifique una señal de nombre de usuario como señal de autenticación. Los tipos de señales admitidos por los servicios de señal de seguridad designados se pueden utilizar con los módulos de inicio de sesión de señal de seguridad genéricos. Puede implementar los módulos de inicio de sesión personalizados para procesar cualquier tipo de señal nuevo no admitido por los módulos de inicio de sesión del sistema predeterminados existentes.

Enlaces

Cuando configure los enlaces de una señal de autenticación, tiene las opciones siguientes:
  • Utilice un módulo de inicio de sesión genérico.
  • Utilice un módulo de inicio de sesión predeterminado de sistema existente.
  • Cree su propio módulo de inicio de sesión personalizado.

Por ejemplo, si configura una señal de nombre de usuario, puede utilizar la configuración de inicio de sesión JAAS wss.consume.unt y mantener el comportamiento existente. Sin embargo, puede configurar el inicio de sesión JAAS wss.consume.issuedToken para utilizar el módulo de inicio de sesión genérico.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_gensectokenmodtokcons
File name: cwbs_gensectokenmodtokcons.html