Propagación de señal de seguridad de servicios Web

La seguridad de servicios web tiene la capacidad de enviar señales de seguridad en la cabecera de seguridad de un mensaje SOAP. Estos elementos de seguridad pueden utilizarse para firmas, verificar, cifrar o descifras las partes del mensaje. Las señales de seguridad también se pueden enviar como señales de seguridad autónomas y establecer como emisor de la llamada en el consumidor de solicitudes. La propagación de señales de seguridad de servicios Web se utiliza para enviar estas señales de seguridad autónomas en un elemento wsse:BinarySecurityToken dentro de la cabecera de seguridad del mensaje SOAP.

La seguridad de servicios web tiene los siguientes tipos de señal incorporados:
  • Señal de nombre de usuario
  • Señal X.509
  • Señal LTPA (Lightweight Third-Party Authentication)

Puede configurar la seguridad de servicios web para utilizar señales de seguridad personalizadas. La seguridad de servicios web utiliza el mismo formato de señal de propagación que la característica de propagación de atributos de seguridad. La seguridad de servicios Web puede propagar todos los tipos de señal de seguridad incorporados y puede propagar tipos de señal personalizados a condición de que la característica de propagación de atributos de seguridad pueda establecerlos en series.

Al configurar una señal de propagación en un generador de señales o un consumidor de señales, utilice los valores siguientes para el URI (Identificador universal de recursos) y el nombre local del tipo de señal:
  • URI de tipo de señal: http://www.ibm.com/websphere/appserver/tokentype
  • Nombre local del tipo de señal: LTPA_PROPAGATION

Cuando se genera una señal de propagación, la seguridad de servicios Web reúne todas las señales de seguridad serializables en el sujeto RunAs para la hebra actual y establece series para las señales de seguridad dentro de una señal wsse:BinarySecurityToken. Para tener un sujeto RunAs y las credenciales que se necesitan en la hebra actual, se debe producir un inicio de sesión de JAAS en la hebra actual antes de que se pueda crear una señal de propagación.

En circunstancias normales, para un proveedor de servicios, el inicio de sesión de JAAS (Java Authentication and Authorization Service) se logra incluyendo una parte de emisor de llamada definida para la señal de entrada en la configuración de WS-Security. Para un cliente de servicios web, el inicio de sesión de JAAS se logra configurando la autenticación HTTP básica.

Existen dos usos comunes para una señal de propagación:
  • Un cliente desde dentro de un servicio seguro propaga las señales de seguridad y las credenciales serializables del sujeto RunAs actual a un servidor que se encuentra en sentido descendente.
  • Un cliente basado en servidor que está protegido en el contenedor web con la autenticación HTTP básica puede utilizar una señal de propagación.

    Para un cliente basado en servidor, la sobrecarga de las señales de propagación no es necesaria porque sólo se necesita la identidad y no el conjunto completo de credenciales. Sin embargo, si la aplicación cliente realiza modificaciones en el sujeto después de que lo haya invocado el contenedor web, puede que sea apropiado utilizar una señal de propagación. Si sólo se necesita una señal de identidad, es posible que sea apropiada una señal LTPA común. Puede generar esta señal LTPA desde el sujeto RunAs creado por el inicio de sesión de JAAS.

Importante: Para que el receptor de la señal de propagación LTPA utilice correctamente las credenciales que se le han enviado en la señal de propagación, debe configurar y definir una parte de llamante para la señal en la configuración de WS-Security del receptor.

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_securitytokenpropagationwbs
File name: cwbs_securitytokenpropagationwbs.html