Puede crear señales SAML autoemitidas con el método de confirmación de sujetos sender-vouches y, a continuación, utilizar la API
Java™ para el modelo de programación JAX-WS (XML-Based Web Services) y las API de WSS (Web Services Security), para enviar esas señales con mensajes de solicitud de servicios web con protección de transporte.
Antes de empezar
En esta tarea se presupone que está familiarizado con el
modelo de programación JAX-WS, las interfaces de las API de WSS, los
conceptos de SAML, la protección de transporte SSL y el uso de conjuntos
de políticas para configurar y administrar los valores de servicios web.
Acerca de esta tarea
Puede crear el cliente de servicios web para utilizar señales
de SAML con el método de confirmación de sujeto sender-vouches en los mensajes
de solicitud SOAP utilizando las interfaces de programación de seguridad
de servicios Web. El uso de interfaces de programación en un cliente de servicios web para
especificar el uso de señales SAML con la confirmación de sujeto sender-vouches
mediante la protección de mensajes en el nivel de transporte es un enfoque
alternativo al uso de los conjuntos de políticas y las configuraciones de enlace.
Puede crear una señal SAML autoemitida y, a continuación, enviar la señal
SAML en los mensajes de solicitud de servicios web de un cliente de
servicios web. La aplicación cliente de servicios web
que se utiliza en esta tarea es una versión modificada del código de cliente contenido en
la aplicación de ejemplo JaxWSServicesSamples que está disponible para la descarga.
Los ejemplos de código del ejemplo se describen en el apartado
sobre procedimiento, aunque se proporciona un ejemplo de cliente de servicios
Web completo y listo para utilizarse en el apartado de ejemplo.
Procedimiento
- Identifique y obtenga el cliente de servicios web que desea utilizar para
invocar un proveedor de servicios web.
Utilice este cliente para insertar las señales SAML en los mensajes
de solicitud SOAP mediante programación con las API de WSS.
El cliente de servicios web que se utiliza en este procedimiento
es una versión modificada del código de cliente contenido en la aplicación de ejemplo de servicios web JaxWSServicesSamples.
Para obtener y modificar el cliente de servicios web de ejemplo a fin de utilizar la API de
seguridad de servicios Web para pasar señales sender-vouches SAML en los mensajes de solicitud SOAP mediante
programación con las API de WSS, siga estos pasos:
- Descargue la aplicación de ejemplo JaxWSServicesSamples. El ejemplo JaxWSServicesSamples no está instalado de forma predeterminada.
- Obtenga el código de cliente de JaxWSServicesSamples.
En el ejemplo, este procedimiento utiliza una versión modificada del
ejemplo de cliente ligero Echo que se incluye en el ejemplo JaxWSServicesSamples.
El archivo de ejemplo de cliente ligero Echo de servicios web, SampleClient.java,
se encuentra en el directorio src\SampleClientSei\src\com\ibm\was\wssample\sei\cli.
El archivo de clase de ejemplo está incluido en el archivo WSSampleClientSei.jar.
La aplicación empresarial JaxWSServicesSamples.ear y los
archivos Java
(JAR) se encuentran en el directorio installableApps
en la aplicación de ejemplo JaxWSServicesSamples.
- Despliegue el archivo JaxWSServicesSamples.ear en el servidor de aplicaciones. Tras desplegar el archivo JaxWSServicesSamples.ear, ya está preparado para probar el código de cliente de servicios
web de ejemplo en la aplicación de ejemplo.
En lugar de utilizar el ejemplo de cliente de servicios web, puede optar
por añadir los fragmentos de código para pasar señales SAML en los mensajes de
solicitud SOAP mediante programación con las API de WSS en su propia aplicación
cliente de servicios web. El ejemplo de este procedimiento utiliza un cliente
ligero de servicios Web JAX-WS; no obstante, también puede utilizar un cliente gestionado.
- Cree una copia del conjunto de políticas SAML20 Bearer WSHTTPS default o
el conjunto de políticas SAML11 Bearer WSHTTPS default.
Proporcione un nombre para la copia del conjunto de políticas;
por ejemplo SAML20 SenderVouches WSHTTPS o SAML11 SenderVouches WSHTTPS
para ayudarle a identificar que este conjunto de políticas nuevo utilice
el método de confirmación sender-vouches.
No es necesario ningún cambio adicional en el archivo de política porque
el método de confirmación de sujeto se especifica en la configuración
de enlace y no en la política.
El archivo de política nuevo contiene SAMLToken20Bearer o
SAMLToken11Bearer como identificadores de política. Cambie el identificador de la política SAMLToken20Bearer por SAMLToken20SV
o cambie el identificador de la política SAMLToken11Bearer por SAMLToken11SV
para especificar un nombre más descriptivo. Al cambiar el identificador de la
política no cambia de ningún modo la aplicación de la política; sin embargo,
la adición de un identificador descriptivo ayuda a identificar que tales
identificadores de política utilicen el método de confirmación sender-vouches.
Si desea ver los valores de estas políticas, utilice la consola administrativa para llevar a cabo estas acciones:
- Pulse .
- Pulse la política WS-Security en la tabla de políticas.
- Pulse el enlace Política principal o el enlace Política de rutina de carga.
- Pulse Políticas de señal de petición en la sección Detalles de política.
- Adjunte el nuevo conjunto de políticas SAML20 SenderVouches WSHTTPS o SAML11 SenderVouches WSHTTPS a la aplicación
de proveedor de servicios web. Consulte la información sobre configuración de los enlaces de cliente y proveedor para la señal sender-vouches de
SAML a fin de obtener detalles sobre cómo adjuntar este conjunto de políticas a la aplicación de proveedor de servicios web.
- Cree una copia de los enlaces generales predeterminados del ejemplo SAML Bearer Provider.
- Para la nueva copia del conjunto de políticas predeterminado, proporcione un nombre que incluya sender-vouches, por ejemplo
Enlace de proveedor Sender-vouches de SAML.
- Cambie el valor de la propiedad confirmationMethod a sender-vouches en la configuración de
consumidor de señales de la versión de señal SAML que se pretenda. Consulte la información sobre configuración de los enlaces de cliente y proveedor para la señal sender-vouches
de SAML a fin de obtener detalles sobre cómo modificar los enlaces sender-vouches a fin de satisface
el requisito de comprobación.
- Asigne el nuevo enlace de proveedor al ejemplo de proveedor JaxWSServicesSamples. Lea acerca de la configuración de enlaces de cliente y proveedor para la sender-vouches de SAML para obtener detalles sobre la asignación de ejemplos de proveedor de sender-vouches SAML, los enlaces generales predeterminados a la aplicación de proveedor de servicios web.
- Habilite el atributo de configuración SSL de proveedor de servicios Web, clientAuthentication,
para que exija la autenticación de certificado de cliente X.509.
El atributo clientAuthentication determina si es
necesaria la autenticación de cliente SSL. Para especificar el atributo
clientAuthentication, utilice la consola administrativa para llevar a
cabo las acciones siguientes:
- Pulse .
- Pulse el enlace WC_defaulthost_secure.
- En Elementos relacionados, pulse el enlace SSL_configurations.
- Seleccione el recurso NodeDefaultSSLSettings.
- Pulse el enlace Valores QoP (calidad de protección).
- Seleccione Necesario en el menú para especificar
la autenticación de cliente.
Consulte la información sobre la creación de una configuración de capa de sockets
segura para obtener más información sobre la configuración
del atributo clientAuthentication.
- En el código de cliente de servicios web, utilice el método CallService() para especificar
el archivo de propiedades que contiene los parámetros de configuración obligatorios para generar
una señal SAML autoemitida.
El método CallService() especifica los parámetros de configuración necesarios para el entorno de ejecución
de seguridad de servicios Web para generar una señal SAMLToken autoemitida.
En el fragmento de código siguiente se ilustra el uso del método
CallService() para especificar los parámetros de configuración de la
seguridad de servicios Web:
public static void main(String[] args) {
SampleSamlSVClient sample = new SampleSamlSVClient();
sample.CallService();
}
/**
* Los CallService Parms ya se han leído. Ahora se debe llamar a las clases de proxy de servicio.
*
*/
void CallService() {
String response = "ERROR!:";
try {
System.setProperty("java.security.auth.login.config", "raíz_perfil/properties/wsjaas_client.conf ");
// Inicializar el objeto WSSFactory
WSSFactory factory = WSSFactory.getInstance();
// Inicializar WSSGenerationContext
WSSGenerationContext gencont = factory.newWSSGenerationContext();
// Inicializar la configuración del emisor de SAML mediante propiedades personalizadas
HashMap<Object, Object> customProps = new HashMap<Object,Object>();
customProps.put(SamlConstants.ISSUER_URI_PROP, "example.com");
customProps.put(SamlConstants.TTL_PROP, "3600000");
customProps.put(SamlConstants.KS_PATH_PROP, "keystores/saml-provider.jceks");
customProps.put(SamlConstants.KS_TYPE_PROP, "JCEKS");
customProps.put(SamlConstants.KS_PW_PROP, "{xor}LCswLTovPiws");
customProps.put(SamlConstants.KEY_ALIAS_PROP, "samlissuer");
customProps.put(SamlConstants.KEY_NAME_PROP, "CN=SAMLIssuer, O=EXAMPLE");
customProps.put(SamlConstants.KEY_PW_PROP, "{xor}NDomLz4sLA==");
customProps.put(SamlConstants.TS_PATH_PROP, "keystores/saml-provider.jceks");
customProps.put(SamlConstants.TS_TYPE_PROP, "JCEKS");
customProps.put(SamlConstants.TS_PW_PROP, "{xor}LCswLTovPiws");
gencont.add(customProps); //Añadir propiedades personalizadas
Consulte la información sobre cómo configurar una señal SAML durante la creación de señales para obtener más información sobre cómo se pueden especificar las propiedades de
configuración para controlar cómo se configura la señal.
- Añada el archivo JAR del cliente ligero para JAX-WS a la variable classpath. Añada el archivo raíz_servidor_aplicaciones/runtimes/com.ibm.jaxws.thinclient_8.5.0.jar
a la variable classpath. Consulte la información sobre cómo probar los clientes habilitados para servicios web para obtener
más detalles sobre la adición de este archivo JAR a la variable classpath.
- Cree la señal SAML autoemitida. El fragmento de código siguiente ilustra la creación de la señal sender-vouches de SAML:
// Crear SAMLToken
HashMap<Object, Object> map = new HashMap<Object, Object>();
map.put(SamlConstants.CONFIRMATION_METHOD, "sender-vouches");
map.put(SamlConstants.TOKEN_TYPE, WSSConstants.SAML.SAML20_VALUE_TYPE);
map.put(SamlConstants.SAML_NAME_IDENTIFIER, "Alice");
map.put(SamlConstants.SIGNATURE_REQUIRED, "true");
SAMLGenerateCallbackHandler callbackHandler = new SAMLGenerateCallbackHandler(map);
SecurityToken samlToken = factory.newSecurityToken(SAMLToken.class, callbackHandler, "system.wss.generate.saml");
System.out.println("SAMLToken id = " + samlToken.getId());
- Utilice el método newSecurityToken de WSSFactory para especificar cómo crear la señal SAML.
Especifique el método siguiente para crear la señal SAML:
WSSFactory newSecurityToken(SAMLToken.class, callbackHandler, "system.wss.generate.saml")
La creación de una señal SAML exige el permiso de seguridad Java wssapi.SAMLTokenFactory.newSAMLToken. Utilice
PolicyTool para añadir la sentencia de política siguiente al archivo de política de seguridad Java o al archivo
was.policy de aplicación:
permission java.security.SecurityPermission "wssapi.SAMLTokenFactory.newSAMLToken
El parámetro SAMLToken.class especifica el tipo de señal de seguridad que se debe crear.
El objeto
callbackHandler contiene parámetros que definen las características de la
señal SAML que va a crear. Este objeto apunta a un objeto SAMLGenerateCallbackHandler que especifica los parámetros
de configuración que se describen en la tabla siguiente:
Tabla 1. Propiedades de SAMLGenerateCallbackHandler. En esta tabla se describen los parámetros de configuración para el objeto
SAMLGenerateCallbackHandler que utilizan el método de confirmación sender-vouches.Propiedad |
Descripción |
Required |
SamlConstants.CONFIRMATION_METHOD |
Especifica que se utiliza el método de confirmación sender-vouches. |
Sí |
SamlConstants.TOKEN_TYPE |
Utiliza el valor constante,
WSSConstants.SAML.SAML20_VALUE_TYPE, para especificar
un tipo de señal SAML 2.0.
Cuando un cliente de servicios web
tiene adjuntos de conjunto de políticas, el entorno de ejecución de
seguridad de servicios Web no utiliza esta propiedad. En esta situación
de ejemplo, especifique el tipo de valor de señal mediante el atributo
valueType de la configuración de enlace tokenGenerator.
El ejemplo de este procedimiento utiliza una señal SAML 2.0; sin embargo,
también puede utilizar el valor WSSConstants.SAML.SAML11_VALUE_TYPE.
|
Sí |
SamlConstants.SAML_NAME_IDENTIFIER |
Especifica una identidad de usuario como
puede ser myname como valor de NameID en la señal SAML.
Si no define este parámetro cuando se utiliza el cliente ligero para JAX-WS, el valor de NameID no contiene información útil.
Si va a utilizar un cliente gestionado de servicios web, como una
aplicación Java 2 Platform,
Enterprise Edition (Java) que realice una invocación de solicitud de
servicios web, el entorno de ejecución de servicios Web intenta extraer
la información de seguridad del usuario del contexto de seguridad. De forma similar, si no define este parámetro para un cliente de servicios web gestionado,
el valor de NameID contiene un identificador de nombre UNAUTHENTICATED.
Esta propiedad no se utiliza si el cliente de servicios web tiene adjuntos de conjunto de políticas.
Consulte la información sobre cómo enviar señales SAML para obtener más detalles sobre el envío
de la identidad y los atributos de las señales SAML.
|
No |
SamlConstants.SIGNATURE_REQUIRED |
Especifica si el emisor es obligatorio
para firmar digitalmente la señal símbolo SAML.
El valor true
especifica que el emisor es obligatorio para firmar digitalmente la señal SAML.
Este valor es el predeterminado.
|
No |
El parámetro
system.wss.generate.saml especifica el LoginModule Java
Authentication and Authorization Service (JAAS) que se utiliza para
crear la señal SAML. Debe especificar una propiedad de JVM para definir un archivo de configuración JAAS que contenga la configuración de
inicio de sesión JAAS necesaria; por ejemplo:
-Djava.security.auth.login.config=raíz_perfil/properties/wsjaas_client.conf
Como alternativa, puede especificar un archivo de configuración de inicio de sesión JAAS estableciendo una propiedad del sistema Java
en el código de cliente de ejemplo; por ejemplo:
System.setProperty("java.security.auth.login.config", "raíz_perfil/properties/wsjaas_client.conf ");
- Obtenga el identificador de la señal SAML creada.
Utilice la siguiente sentencia como prueba simple para la señal SAML que ha creado:
System.out.println("SAMLToken id = " + samlToken.getId())
Resultados
Ha creado señales SAML autoemitidas con el método de confirmación sender-vouches con protección de transporte y, a continuación, ha enviado esta señal con los mensajes de solicitud de servicios web utilizando el modelo de programación JAX-WS y las API de WSS.
Ejemplo
El código de ejemplo siguiente es una aplicación de cliente de servicios web completa y lista para ser utilizada que muestra cómo crear una señal SAML autoemitida sender-vouches y enviar dicha señal SAML en los mensajes de solicitud de servicios web. Este código de ejemplo ilustra los pasos
del procedimiento descrito anteriormente.
/**
* El código fuente siguiente es código de ejemplo creado por IBM Corporation.
* Este código de ejemplo se proporciona exclusivamente como ayuda para utilizar
* la tecnología. El código se proporciona 'TAL CUAL', sin garantía ni condición de
* ningún tipo. IBM no se hará responsable de los daños derivados del uso del
* código de ejemplo, aunque IBM haya advertido de la posibilidad de tales daños.
*/
package com.ibm.was.wssample.sei.cli;
import com.ibm.was.wssample.sei.echo.EchoService12PortProxy;
import com.ibm.was.wssample.sei.echo.EchoStringInput;
import com.ibm.websphere.wssecurity.wssapi.WSSFactory;
import com.ibm.websphere.wssecurity.wssapi.WSSGenerationContext;
import com.ibm.websphere.wssecurity.wssapi.WSSConsumingContext;
import com.ibm.websphere.wssecurity.wssapi.WSSTimestamp;
import com.ibm.websphere.wssecurity.callbackhandler.SAMLGenerateCallbackHandler;
import com.ibm.websphere.wssecurity.wssapi.token.SAMLToken;
import com.ibm.websphere.wssecurity.wssapi.token.SecurityToken;
import com.ibm.wsspi.wssecurity.core.token.config.WSSConstants;
import com.ibm.wsspi.wssecurity.saml.config.SamlConstants;
import java.util.Map;
import java.util.HashMap;
import javax.xml.ws.BindingProvider;
public class SampleSamlSVClient {
private String urlHost = "localhost";
private String urlPort = "9081";
private static final String CONTEXT_BASE = "/WSSampleSei/";
private static final String ECHO_CONTEXT12 = CONTEXT_BASE+"EchoService12";
private String message = "HELLO";
private String uriString = "http://" + urlHost + ":" + urlPort;
private String endpointURL = uriString + ECHO_CONTEXT12;
private String input = message;
/**
* main()
*
* consulte printusage() para conocer los argumentos de línea de mandatos
*
* @param args
*/
public static void main(String[] args) {
SampleSamlSVClient sample = new SampleSamlSVClient();
sample.CallService();
}
/**
* Los CallService Parms ya se han leído. Ahora se debe llamar a las clases de proxy de servicio.
*
*/
void CallService() {
String response = "ERROR!:";
try {
System.setProperty("java.security.auth.login.config", "raíz_perfil/properties/wsjaas_client.conf ");
// Inicializar el objeto WSSFactory
WSSFactory factory = WSSFactory.getInstance();
// Inicializar WSSGenerationContext
WSSGenerationContext gencont = factory.newWSSGenerationContext();
// Inicializar la configuración del emisor de SAML mediante propiedades personalizadas
HashMap<Object, Object> customProps = new HashMap<Object,Object>();
customProps.put(SamlConstants.ISSUER_URI_PROP, "example.com");
customProps.put(SamlConstants.TTL_PROP, "3600000");
customProps.put(SamlConstants.KS_PATH_PROP, "keystores/saml-provider.jceks");
customProps.put(SamlConstants.KS_TYPE_PROP, "JCEKS");
customProps.put(SamlConstants.KS_PW_PROP, "{xor}LCswLTovPiws");
customProps.put(SamlConstants.KEY_ALIAS_PROP, "samlissuer");
customProps.put(SamlConstants.KEY_NAME_PROP, "CN=SAMLIssuer, O=EXAMPLE");
customProps.put(SamlConstants.KEY_PW_PROP, "{xor}NDomLz4sLA==");
customProps.put(SamlConstants.TS_PATH_PROP, "keystores/saml-provider.jceks");
customProps.put(SamlConstants.TS_TYPE_PROP, "JCEKS");
customProps.put(SamlConstants.TS_PW_PROP, "{xor}LCswLTovPiws");
gencont.add(customProps); //Añadir propiedades personalizadas
// Crear SAMLToken
HashMap<Object, Object> map = new HashMap<Object, Object>();
map.put(SamlConstants.CONFIRMATION_METHOD, "sender-vouches");
map.put(SamlConstants.TOKEN_TYPE, WSSConstants.SAML.SAML20_VALUE_TYPE);
map.put(SamlConstants.SAML_NAME_IDENTIFIER, "Alice");
map.put(SamlConstants.SIGNATURE_REQUIRED, "true");
SAMLGenerateCallbackHandler callbackHandler = new SAMLGenerateCallbackHandler(map);
SecurityToken samlToken = factory.newSecurityToken(SAMLToken.class, callbackHandler, "system.wss.generate.saml");
System.out.println("SAMLToken id = " + samlToken.getId());
// Inicializar cliente de servicios web
EchoService12PortProxy echo = new EchoService12PortProxy();
echo._getDescriptor().setEndpoint(endpointURL);
// Configurar propiedades SOAPAction
BindingProvider bp = (BindingProvider) (echo._getDescriptor().getProxy());
Map<String, Object> requestContext = bp.getRequestContext();
requestContext.put(BindingProvider.ENDPOINT_ADDRESS_PROPERTY, endpointURL);
requestContext.put(BindingProvider.SOAPACTION_USE_PROPERTY, Boolean.TRUE);
requestContext.put(BindingProvider.SOAPACTION_URI_PROPERTY, "echoOperation");
gencont.add(samlToken);
// Añadir indicación de fecha y hora
WSSTimestamp timestamp = factory.newWSSTimestamp();
gencont.add(timestamp);
gencont.process(requestContext);
// Crear el objeto de entrada
EchoStringInput echoParm =
new com.ibm.was.wssample.sei.echo.ObjectFactory().createEchoStringInput();
echoParm.setEchoInput(input);
System.out.println(">> CLIENT: SEI Echo to " + endpointURL);
// Preparar para la consumición de indicación de fecha y hora en mensaje de respuesta
WSSConsumingContext concont = factory.newWSSConsumingContext();
concont.add(WSSConsumingContext.TIMESTAMP);
concont.process(requestContext);
// Llamar al servicio
response = echo.echoOperation(echoParm).getEchoResponse();
System.out.println(">> CLIENT: SEI Echo invocation complete.");
System.out.println(">> CLIENT: SEI Echo response is: " + response);
} catch(Exception e) {
System.out.println(">> CLIENT: ERROR: SEI Echo EXCEPTION.");
e.printStackTrace();
}
}
}
Cuando este ejemplo de aplicación de cliente de servicios web se ejecute correctamente,
recibirá mensajes como los siguientes:
SAMLToken id = _6CDDF0DBF91C044D211271166233407
Recuperando documento en 'file:raíz_perfil/.../wsdl/'.
>> CLIENT: SEI Echo to http://localhost:9443/WSSampleSei/EchoService12
>> CLIENT: SEI Echo invocation complete.
>> CLIENT: SEI Echo response is: SOAP12==>>HELLO