Módulo de inicio de sesión de señal de seguridad genérico para el generador de señales

Cuando se realiza una solicitud de servicio web, el servidor de aplicaciones llama al módulo de inicio de sesión de seguridad genérico para el generador de señales como parte del proceso de autenticación de seguridad de servicios web.

El módulo de inicio de sesión delega el proceso de generación de señales a un servicio de señales de seguridad (STS) a través de una solicitud de WS-Trust Issue o WS-Trust Validate. El STS procesa la solicitud y devuelve un mensaje RequestSecurityTokenResponse al módulo de inicio de sesión. El módulo de inicio de sesión incluye la señal del mensaje de respuesta STS en la cabecera de seguridad del mensaje de solicitud de servicio web. Si un símbolo no se devuelve o se produce un error de la llamada STS, el módulo de inicio de sesión genera un mensaje LoginException y se devuelve un error al cliente de servicios web.

El módulo de inicio de sesión, y su uso del servicio de señal de seguridad, permite las acciones siguientes:
  • Un intercambio de las señales de seguridad cuando la señales de seguridad entrantes o salientes son de tipos siguientes
  • Un intercambio de señales de seguridad al correlacionar identidades
  • La evaluación de comprobaciones de autorización para asegurarse de que los usuarios autenticados pueden invocar el servicio web de destino
  • El intercambio de señales se invoca desde el RunAs Subject o es generado por el entorno de ejecución de seguridad de servicios web. El intercambio se basa en el conjunto de políticas y en los enlaces configurados para la solicitud de confianza.
Para utilizar el módulo de inicio de sesión de señal de seguridad genérico para el generador de señales, el generador de señales en los enlaces del conjunto de políticas de seguridad de servicios web debe:
  • Especificar el nombre de configuración de inicio de sesión JAAS (Java™ Authentication and Authorization Service) adecuado
  • Especificar el nombre de clase del manejador de devolución de llamada
El nombre de configuración de inicio de sesión de JAAS es wss.generate.issuedToken, y el nombre de la clase de manejador de devolución de llamada es com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenGenerateCallbackHandler. Para obtener más información, consulte la documentación acerca de la configuración de un módulo de inicio de sesión genérico para una señal de autenticación en el lado del generador de señales del proceso de seguridad de servicios web.

Tipos de señales soportadas

  • Puede especificar cualquier tipo de señal cuyo valorValueType pueda ser procesado por el STS designado. En función del STS que se utilice, los tipos de señal pueden incluir:
    • Security Assertion Markup Language (SAML) 2.0
    • SAML 1.1
    • Nombre de usuario
    • PassTicket
    • Kerberos
    • Lightweight Third Party Authentication (LTPA)
    • Credencial de Tivoli Access Manager
  • La señal solicitada que se envía en el mensaje SOAP al proveedor de servicios es la señal que se especifica en la política.
  • Puede utilizar esta señal para la autenticación solamente. No puede utilizar esta señal como señal de protección.Para SAML Versión 2.0, 1.1 y 1.0, sólo se soportan métodos de configuración de titular y comprobante de envío.

Puede configurar el módulo de inicio de sesión de señal de seguridad genérico para el generador de señales para utilizar una solicitud WS-Trust Issue o WS-Trust Validate para intercambiar o validar la señal de seguridad. Estas dos opciones se describen en las secciones siguientes.

WS-Trust Issue

Puede configurar el módulo de inicio de sesión para el generador de señales para utilizar WS-Trust Issue para solicitar una señal de seguridad. En este escenario, el cliente de confianza envía una señal de seguridad de autenticación a un STS en la cabecera de seguridad SOAP. Esta señal de autenticación se origina en una de las siguientes ubicaciones:
  • El RunAs Subject en el contexto de seguridad actual
  • El manejador de retorno de llamada que se configura dentro de los enlaces de los conjuntos de políticas de cliente de confianza
Tras un proceso satisfactorio de la solicitud STS, el STS autentica la señal y emite la señal solicitada.

WS-Trust Validate

Puede configurar de forma opcional el módulo de inicio de sesión para el generador de señales para utilizar WS-Trust Validate para solicitar una señal de seguridad. En este caso, el módulo de inicio de sesión busca la señal de seguridad de autenticación de RunAs Subject basándose en el valor de ValueType de señal configurado. El módulo de inicio de sesión envía la señal en la solicitud de confianza incorporándola dentro del elemento RequestedSecurityToken como un elemento hijo. Esta señal puede envolverse en el elemento ValidateTarget o el elemento de ampliación Base. El STS valida la señal incrustada en el elemento RequestedSecurityToken y devuelve una nueva señal de seguridad o un código de estado de validación. Si sólo se devuelve un código de estado de validación, el generador de señales utiliza la señal de seguridad original. Aunque la señal devuelta puede tener cualquier valor de ValueType, como se ha descrito anteriormente en el escenario de uso de WS-Trust Issue, la señal que debe validarse debe ser de uno de los tipos siguientes:
  • SAML 2.0
  • SAML 1.1
  • Nombre de usuario
  • PassTicket
  • Kerberos
  • LTPA
  • LTPA Versión 2

Utilice WS-Trust Issue o WS-Trust Validate

El módulo de inicio de sesión genérico utiliza WS-Trust Validate para validar la señal de RunAs Subject si las condiciones siguientes son verdaderas:
  • Existe un RunAs Subject en el contexto de seguridad actual
  • Sólo existe una señal de seguridad cuyo tipo de valor coincide con el valor ValueType para la señal solicitada.
Si WS-Trust Validate devuelve un código de estado válido y una señal de seguridad, la señal devuelta será la señal solicitada. Si WS-Trust Validate devuelve un código de estado válido sólo, la señal existente en la RunAs Subject será la señal solicitada.

Además, puede seleccionar un símbolo de RunAs Subject para la validación e intercambiarlo para la señal solicitada. La señal seleccionada puede tener un valor ValueType diferente de la señal solicitada. Para obtener más información, consulte la documentación acerca de la configuración de un módulo de inicio de sesión de señal de seguridad genérico para una señal de autenticación en el lado del generador de señales del proceso de seguridad de servicios web.

Supported configurations Supported configurations: Si el valor de ValueType para la señal solicitada es de tipo LTPA o LTPA Versión 2, el módulo de inicio de sesión de señal de seguridad genérico extrae automáticamente un WSCredential. Genera una señal LTPA v2 o LTPA de seguridad de servicio web para la validación y el intercambio, en el caso de que se cumplan las siguientes condiciones:
  • Una señal de seguridad LTPA v2 o LTPA no existe en el RunAs Subject.
  • Existe un WSCredential en RunAs Subject.

Cuando sólo hay una señal de seguridad en el asunto RunAs que coincida con el ValueType de la señal solicitada, puede configurar el módulo de inicio de sesión para no invocar una solicitud de validación WS-Trust para validar la señal coincidente. En su lugar, el módulo de inicio de sesión envía la señal de coincidencia al proveedor de servicios en sentido descendente sin validación.

El módulo de inicio de sesión de señal de seguridad genérico automáticamente utiliza WS-Trust Issue para solicitar la señal, si se cumplen las siguientes condiciones:
  • No existe un RunAs Subject
  • No existe un valor ValueType de señal coincidente en el RunAs Subject
  • El módulo de inicio de sesión no puede validar la señal del RunAs Subject

Una opción de configuración impone el uso de WS-Trust Issue en el módulo de inicio de sesión genérico o de WS-Trust Validate. Para obtener más información, consulte la documentación acerca de la configuración de un módulo de inicio de sesión genérico para una señal de autenticación en el lado del generador de señales del proceso de seguridad de servicios web.

sptcfg

Conjuntos de políticas

La implementación del módulo de inicio de sesión de señal de seguridad genérico no incluye un nuevo tipo de señal en un conjunto de políticas. Por ejemplo, si tiene previsto utilizar un módulo de inicio de sesión genérico para generar una señal de nombre de usuario, puede crear un conjunto de políticas que especifique una señal de nombre de usuario como señal de autenticación. Algunos tipos de señales de personalización no está soportados por los módulos de inicio de sesión de sistema predeterminados. Sin embargo, puede implementar estos tipos de señales mediante los módulos de inicio de sesión personalizados. Estos tipos de señales personalizadas están soportadas por los módulos de inicio de sesión de señales de seguridad genérico si están soportados por los STS designados.

Enlaces

Cuando configure los enlaces de una señal de autenticación, tiene las opciones siguientes:
  • Utilice un módulo de inicio de sesión genérico.
  • Utilice un módulo de inicio de sesión predeterminado de sistema existente.
  • Cree su propio módulo de inicio de sesión personalizado.

Por ejemplo, si configura una señal de nombre de usuario, puede utilizar la configuración de inicio de sesión JAAS wss.generate.unt y mantener el comportamiento existente. Sin embargo, puede configurar el inicio de sesión JAAS wss.generate.issuedToken para utilizar el módulo de inicio de sesión de señal de seguridad genérico.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_gensectokenmodtokgen
File name: cwbs_gensectokenmodtokgen.html