Puede solicitar señales SAML con el método de confirmación de sujetos sender-vouches a partir de un servicio de señales de seguridad (STS) externo.
Tras obtener la señal sender-vouches de SAML, puede enviar estas señales con los mensajes de solicitud de servicios web mediante la API Java™ ara el modelo de programación de servicios web basados en XML (JAX-WS) y las API de seguridad de servicios web (API de WSS) con la protección de nivel de mensaje.
Antes de empezar
En esta tarea se presupone que está familiarizado con el
modelo de programación JAX-WS, las interfaces de las API de WSS, los
conceptos de SAML, la protección de transporte SSL, la señal de seguridad X.509, y el uso de conjuntos
de políticas para configurar y administrar los valores de servicios web.
Acerca de esta tarea
Puede solicitar una señal SAML con el método de confirmación de sujeto de sender-vouches desde un STS externo y, a continuación, enviar la señal SAML en los mensajes de solicitud de servicios web de un cliente de servicios web utilizando las API de WSS con protección de nivel de mensaje.
Este producto no proporciona un conjunto de políticas predeterminado que
exige señales SAML con el método de confirmación de sujetos
sender-vouches. Consulte la información sobre la configuración de enlaces
de cliente y proveedor para la señal sender-vouches de SAML para obtener más
detalles sobre cómo crear una política de seguridad de servicios Web para
exigir señales SAML con la confirmación de sujetos sender-vouches y cómo crear
una configuración de enlaces personalizados. Debe adjuntar la política y el
enlace al proveedor de servicios web. El ejemplo de código que se describe en
esta tarea presupone que la política de proveedor de servicios web exige que
tanto las señales SAML como los cuerpos de los mensajes se firmen digitalmente
utilizando una señal de seguridad X.509.
La aplicación cliente de servicios web
que se utiliza en esta tarea es una versión modificada del código de cliente contenido en
la aplicación de ejemplo JaxWSServicesSamples que está disponible para la descarga.
Ejemplos de código del ejemplo se describen en el procedimiento, y se proporciona un completo y listo ejemplo de cliente de servicios web.
Procedimiento
- Identifique y obtenga el cliente de servicios web que desea utilizar para
invocar un proveedor de servicios web.
Utilice este cliente para insertar las señales SAML en los mensajes
de solicitud SOAP mediante programación con las API de WSS.
El cliente de servicios web que se utiliza en este procedimiento
es una versión modificada del código de cliente contenido en la aplicación de ejemplo de servicios web JaxWSServicesSamples.
Para obtener y modificar el cliente de servicios web de ejemplo a fin de añadir la API de
seguridad de servicios Web para pasar señales sender-vouches SAML en los mensajes de solicitud SOAP mediante
programación con las API de WSS, siga estos pasos:
- Descargue la aplicación de ejemplo JaxWSServicesSamples. El ejemplo JaxWSServicesSamples no está instalado de forma predeterminada.
- Obtenga el código de cliente de JaxWSServicesSamples.
En el ejemplo, este procedimiento utiliza una versión modificada del
ejemplo de cliente ligero Echo que se incluye en el ejemplo JaxWSServicesSamples.
El archivo de ejemplo de cliente ligero Echo de servicios web, SampleClient.java,
se encuentra en el directorio src\SampleClientSei\src\com\ibm\was\wssample\sei\cli.
El archivo de clase de ejemplo está incluido en el archivo WSSampleClientSei.jar.
La aplicación empresarial JaxWSServicesSamples.ear y los
archivos Java
(JAR) se encuentran en el directorio installableApps
en la aplicación de ejemplo JaxWSServicesSamples.
- Despliegue el archivo JaxWSServicesSamples.ear en el servidor de aplicaciones. Tras desplegar el archivo JaxWSServicesSamples.ear, ya está preparado para probar el código de cliente de servicios
web de ejemplo en la aplicación de ejemplo.
En lugar de utilizar el ejemplo de cliente de servicios web, puede optar
por añadir los fragmentos de código para pasar señales SAML en los mensajes de
solicitud SOAP mediante programación con las API de WSS en su propia aplicación
cliente de servicios web. El ejemplo de este procedimiento utiliza un cliente
ligero de servicios web JAX-WS; no obstante, también puede utilizar un cliente gestionado.
- Especifique la utilización de la protección de mensajes de nivel de mensaje SSL. Utilice la propiedad JVM siguiente para especificar la utilización de SSL para proteger la solicitud de señal SAML con el STS:
-Dcom.ibm.SSL.ConfigURL=file:raíz_perfil\properties\ssl.client.props
Como alternativa,
puede definir el archivo de configuración SSL para que utilice una propiedad del sistema Java en el código de cliente
de ejemplo; por ejemplo:System.setProperty("com.ibm.SSL.ConfigURL", "file:raíz_perfil/properties/ssl.client.props");
- Añada el archivo JAR del cliente ligero para JAX-WS a la variable class. Añada el archivo raíz_servidor_aplicaciones/runtimes/com.ibm.jaxws.thinclient_8.5.0.jar
a la variable class. Consulte la información sobre cómo probar los clientes habilitados para servicios web para obtener
más detalles sobre la adición de este archivo JAR a la variable class.
- Solicite la señal SAML de un STS externo. El fragmento de código siguiente ilustra cómo solicitar la señal sender-vouches de SAML y presupone que un STS externo se configura para aceptar un símbolo Username y para emitir una señal SAML 2.0 utilizando sender-vouches después de validación:
//Solicitar la señal SAML desde un STS externo
WSSFactory factory = WSSFactory.getInstance();
String STS_URI = "https://externalstsserverurl:port/TrustServerWST13/services/RequestSecurityToken";
String ENDPOINT_URL = "http://localhost:9080/WSSampleSei/EchoService";
WSSGenerationContext gencont1 = factory.newWSSGenerationContext();
WSSConsumingContext concont1 = factory.newWSSConsumingContext();
HashMap<Object, Object> cbackMap1 = new HashMap<Object, Object>();
cbackMap1.put(SamlConstants.STS_ADDRESS, STS_URI);
cbackMap1.put(SamlConstants.SAML_APPLIES_TO, ENDPOINT_URL);
cbackMap1.put(SamlConstants.TRUST_CLIENT_WSTRUST_NAMESPACE, "http://docs.oasis-open.org/ws-sx/ws-trust/200512");
cbackMap1.put(SamlConstants.TRUST_CLIENT_COLLECTION_REQUEST, "false");
cbackMap1.put(SamlConstants.TOKEN_TYPE, WSSConstants.SAML.SAML11_VALUE_TYPE);
cbackMap1.put(SamlConstants.CONFIRMATION_METHOD, "sender-vouches");
SAMLGenerateCallbackHandler cbHandler1 = new SAMLGenerateCallbackHandler(cbackMap1);
// Añadir UNT a solicitud de confianza
UNTGenerateCallbackHandler utCallbackHandler = new UNTGenerateCallbackHandler("testuser", "testuserpwd");
SecurityToken ut = factory.newSecurityToken(UsernameToken.class, utCallbackHandler);
gencont1.add(ut);
cbHandler1.setWSSConsumingContextForTrustClient(concont1);
cbHandler1.setWSSGenerationContextForTrustClient(gencont1);
SecurityToken samlToken = factory.newSecurityToken(SAMLToken.class, cbHandler1, "system.wss.generate.saml");
System.out.println("SAMLToken id = " + samlToken.getId());
- Utilice el método newSecurityToken de WSSFactory para especificar cómo solicitar la señal SAML de un STS externo.
Especifique el método siguiente para crear la señal SAML:
WSSFactory newSecurityToken(SAMLToken.class, callbackHandler, "system.wss.generate.saml")
La solicitud de una señal SAML exige el permiso de seguridad Java wssapi.SAMLTokenFactory.newSAMLToken. Utilice
Policy para añadir la sentencia de política siguiente al archivo de política de seguridad Java o al archivo
was.policy de aplicación:
permission java.security.SecurityPermission "wssapi.SAMLTokenFactory.newSAMLToken"
El parámetro SAMLToken.class especifica el tipo de señal de seguridad que se debe crear.
El objeto
callbackHandler contiene parámetros que definen las características de la señal SAMLToken que está solicitando y otros parámetros necesarios para alcanzar el STS y obtener la señal SAML. El objeto SAMLGenerateCallbackHandler especifica los parámetros de configuración que se describen en la tabla siguiente:
Tabla 1. Propiedades de SAMLGenerateCallbackHandler. En esta tabla se describen los parámetros de configuración para el objeto
SAMLGenerateCallbackHandler que utilizan el método de confirmación sender-vouches.Propiedad |
Descripción |
Required |
SamlConstants.CONFIRMATION_METHOD |
Especifica que se utiliza el método de confirmación sender-vouches. |
Sí |
SamlConstants.TOKEN_TYPE |
Especifica el tipo de señal.
Cuando un cliente de servicios web
tiene adjuntos de conjunto de políticas, el entorno de ejecución de
seguridad de servicios Web no utiliza esta propiedad.
Especifique el tipo de valor de señal utilizando el atributo valueType de la configuración de enlace de generador de señales.
El ejemplo de este procedimiento utiliza una señal SAML 1.1; sin embargo, también puede utilizar el valor WSSConstants.SAML.SAML20_VALUE_TYPE .
|
Sí |
SamlConstants.STS_ADDRESS |
Especifica la dirección de servicio de señal de seguridad.
En el ejemplo que se utiliza en este tema de la tarea, el valor de esta propiedad se establece en https para especificar la utilización de SSL para proteger la solicitud de señal SAML.
Debe establecer la propiedad el-Dcom.ibm.SSL.ConfigURL para habilitar el uso de SSL para proteger la solicitud de señal SAML con el STS.
|
Sí |
SamlConstants.SAML_APPLIES_TO |
Especifica la dirección STS de destino para la que se desea utilizar la señal SAML. |
No |
SamlConstants.TRUST_CLIENT_COLLECTION_REQUEST |
Especifica si se debe solicitar del STS una señal simple que está incluida en un elemento RequestSecurityToken (RST) o varias señales en una colección de elementos RST que están incluidas en un solo elemento RequestSecurityTokenCollection (RSTC). El comportamiento predeterminado es solicitar una señal simple que está incluida en un elemento RequestSecurityToken (RST) del STS.
La especificación de un valor true para esta propiedad indica solicitar varias señales en una colección de elementos RST que están incluidas en un solo elemento RequestSecurityTokenCollection (RSTC) del STS.
|
No |
SamlConstants.TRUST_CLIENT_WSTRUST_NAMESPACE |
Especifica el espacio de nombres WS-Trust que se incluye en la solicitud WS-Trust. El valor predeterminado es WSTrust 1.3.
|
No |
Una instancia de WSSGenerationContext y una instancia WSSConsumingContext también se han establecido en el objeto SAMLGenerateCallbackHandler. La instancia WSSGenerationContext debe contener un objeto UNTGenerateCallbackHandler con la información para crear el UsernameToken que desea enviar al STS.
El parámetro
system.wss.generate.saml especifica el LoginModule Java
Authentication and Authorization Service (JAAS) que se utiliza para
crear la señal SAML. Debe especificar una propiedad de JVM para definir un archivo de configuración JAAS que contenga la configuración de
inicio de sesión JAAS necesaria; por ejemplo:
-Djava.security.auth.login.config=raíz_perfil/properties/wsjaas_client.conf
Como alternativa, puede especificar un archivo de configuración de inicio de sesión JAAS estableciendo una propiedad del sistema Java
en el código de cliente de ejemplo; por ejemplo:
System.setProperty("java.security.auth.login.config", "raíz_perfil/properties/wsjaas_client.conf ");
- Obtenga el identificador de la señal SAML creada.
Utilice la siguiente sentencia como prueba simple para la señal SAML que ha creado:
System.out.println("SAMLToken id = " + samlToken.getId())
- Añada la señal SAML a la cabecera de seguridad SOAP de los mensajes de solicitud de servicios web.
- Inicialice el cliente de servicios web y configure las propiedades SOAPAction. Los ejemplos de código siguientes ilustran estas acciones
// Inicializar cliente de servicios web
EchoService12PortProxy echo = new EchoService12PortProxy();
echo._getDescriptor().setEndpoint(endpointURL);
// Configurar propiedades SOAPAction
BindingProvider bp = (BindingProvider) (echo._getDescriptor().getProxy());
Map<String, Object> requestContext = bp.getRequestContext();
requestContext.put(BindingProvider.ENDPOINT_ADDRESS_PROPERTY, endpointURL);
requestContext.put(BindingProvider.SOAPACTION_USE_PROPERTY, Boolean.TRUE);
requestContext.put(BindingProvider.SOAPACTION_URI_PROPERTY, "echoOperation");
// Inicializar WSSGenerationContext
WSSGenerationContext gencont = factory.newWSSGenerationContext();
gencont.add(samlToken);
- Inicialice WSSGenerationContext. El siguiente fragmento de código ilustra el uso del gencont.object
del tipo WSSGenerationContext para inicializar un contexto de generación para
que pueda insertar la SAMLToken en un mensaje de solicitud de servicios web:
// Inicializar WSSGenerationContext
WSSGenerationContext gencont = factory.newWSSGenerationContext();
gencont.add(samlToken);
Concretamente, la llamada al método
gencont.add(samlToken)
especifica que se coloque la señal SAML en un mensaje de solicitud. Esta operación exige que el código de cliente tenga el siguiente permiso de
seguridad Java 2:
permission javax.security.auth.AuthPermission "modifyPrivateCredentials"
- Añada una señal X.509 para la protección de mensajes utilizando la API de seguridad de servicios web.
Este código de ejemplo utiliza el archivo de claves dsig-sender.ks y la
clave de ejemplo SOAPRequester. No debe utilizar la clave de ejemplo en un entorno
de producción. El siguiente fragmento de código muestra cómo añadir una señal X.509 para la protección del mensaje:
// Añadir una señal X.509 para la protección de mensajes
X509GenerateCallbackHandler x509callbackHandler = new X509GenerateCallbackHandler(
null,
"raíz_perfil/etc/ws-security/samples/dsig-sender.ks",
"JKS",
"client".toCharArray(),
"soaprequester",
"client".toCharArray(),
"CN=SOAPRequester, OU=TRL, O=IBM, ST=Kanagawa, C=JP", null);
SecurityToken x509 = factory.newSecurityToken(X509Token.class,
x509callbackHandler, "system.wss.generate.x509");
WSSSignature sig = factory.newWSSSignature(x509);
sig.setSignatureMethod(WSSSignature.RSA_SHA1);
WSSSignPart sigPart = factory.newWSSSignPart();
sigPart.setSignPart(samlToken);
sigPart.addTransform(WSSSignPart.TRANSFORM_STRT10);
sig.addSignPart(sigPart);
sig.addSignPart(WSSSignature.BODY);
- Cree un objeto WSSSignature con el símbolo X509. La línea de código siguiente crea un objeto WSSSignature con la señal X509:
WSSSignature sig = factory.newWSSSignature(x509);
- Añada la parte firmada que se debe utilizar para la protección de mensajes. La línea de código siguiente especifica la adición de WSSSignature.BODY como parte firmada:
sig.addSignPart(WSSSignature.BODY);
- Añada el elemento timestamp en la cabecera de seguridad de mensajes SOAP. Los conjuntos de políticas de SAML20 SenderVouches WSHTTPS y SAML11 SenderVouches
WSHTTPS exigen solicitudes de servicios web y mensajes de respuesta para transportar un
elemento timestamp en la cabecera de seguridad de mensajes SOAP.
En el siguiente fragmento de código, la llamada al método factory.newWSSTimestamp()
genera la indicación de fecha y hora y la llamada al método gencont.add(timestamp)
añade la indicación de fecha y hora al mensaje de solicitud:
// Añadir timestamp
WSSTimestamp timestamp = factory.newWSSTimestamp();
gencont.add(timestamp);
sig.addSignPart(WSSSignature.TIMESTAMP);
gencont.add(sig);
WSSConsumingContext concont = factory.newWSSConsumingContext();
- Configure la firma de señales SAML utilizando el algoritmo de transformación STR-Transform.
Es necesario una WSSSignPart independiente para especificar el algoritmo de
transformación de SecurityTokenReference que se representa mediante el atributo
WSSSignPart.TRANSFORM_STRT10.
Una señal SAML no se puede firmar
digitalmente de forma directa. Este atributo permite que el entorno de ejecución
de seguridad de servicios Web genere un elemento SecurityTokenReference para referenciar
la señal SAML y firmarla digitalmente con la transformación SecurityTokenReference.
En la línea de código siguiente se especifica la utilización del
atributo
WSSSignPart.TRANSFORM_STRT10:
WSSSignPart sigPart = factory.newWSSSignPart();
sigPart.setSignPart(samlToken);
sigPart.addTransform(WSSSignPart.TRANSFORM_STRT10);
- Adjunte el objeto WSSGenerationContext al objeto RequestContext de servicios Web. El objeto WSSGenerationContext ahora contiene toda la información de
seguridad necesaria para dar formato a un mensaje de solicitud. La llamada al
método gencont.process(requestContext) adjunta el objeto WSSGenerationContext
al objeto RequestContext de servicios Web para permitir que el entorno de ejecución de seguridad
de servicios Web dé formato a la cabecera de seguridad SOAP necesaria; por ejemplo:
// Adjunta el objeto WSSGenerationContext al objeto RequestContext de servicios web.
gencont.process(requestContext);
- Utilice la señal X.509 para validar la firma digital y la integridad del mensaje de respuesta. Si la política del proveedor exige que el mensaje de respuesta se firme digitalmente, debe inicializar la señal X.509.
- Un objeto X509ConsumeCallbackHandler se inicializa con un almacén de confianza, dsig-receiver.ks, y un objeto de vía de
acceso de certificado para validar la firma digital del proveedor. La línea siguiente de código se utiliza para inicializar el objeto X509ConsumeCallbackHandler:
X509ConsumeCallbackHandler callbackHandlerVer = new X509ConsumeCallbackHandler(
"raíz_perfil/etc/ws-security/samples/dsig-receiver.ks",
"JKS",
"server".toCharArray(),
certList,
java.security.Security.getProvider("IBMCertPath"));
- Se crea un objeto WSSVerification y el cuerpo del mensaje se añade al objeto de verificación para que el entorno
de ejecución de seguridad de servicios Web valide la firma digital.
La línea siguiente de código se utiliza para inicializar el
objeto WSSVerification:
WSSVerification ver = factory.newWSSVerification(X509Token.class, callbackHandlerVer);
El objeto WSSConsumingContext ahora contiene toda la información de seguridad necesaria para dar
formato a un mensaje de solicitud. La llamada al método
concont.process(requestContext) adjunta el objeto WSSConsumingContext
al método de respuesta; por ejemplo:
// Adjunta el objeto WSSConsumingContext al objeto RequestContext de servicios web.
concont.process(requestContext);
Resultados
Ha solicitado una señal SAML con el método de confirmación sender-vouches de un STS externo. Tras obtener la señal, envíe la señal con mensajes de solicitud de servicios web utilizando la protección de nivel de mensajes mediante el modelo de programación JAX-WS y las API de WSS.
Ejemplo
El código de ejemplo siguiente es una aplicación de cliente de servicios web completa y lista para utilizar que muestra cómo solicitar una señal SAML de un STS externo y enviar dicha señal SAML en los mensajes de solicitud de servicios web con la protección de nivel de mensajes. Este código de ejemplo ilustra los pasos
del procedimiento descrito anteriormente.
/**
* El código fuente siguiente es código de ejemplo creado por IBM Corporation.
* Este código de ejemplo se proporciona exclusivamente como ayuda para utilizar
* la tecnología. El código se proporciona 'TAL CUAL', sin garantía ni condición de
* ningún tipo. IBM no se hará responsable de los daños derivados del uso del
* código de ejemplo, aunque IBM haya advertido de la posibilidad de tales daños.
*/
package com.ibm.was.wssample.sei.cli;
import com.ibm.was.wssample.sei.echo.EchoService12PortProxy;
import com.ibm.was.wssample.sei.echo.EchoStringInput;
import com.ibm.websphere.wssecurity.callbackhandler.SAMLGenerateCallbackHandler;
import com.ibm.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler;
import com.ibm.websphere.wssecurity.wssapi.token.UsernameToken;
import com.ibm.websphere.wssecurity.wssapi.WSSConsumingContext;
import com.ibm.websphere.wssecurity.wssapi.WSSFactory;
import com.ibm.websphere.wssecurity.wssapi.WSSGenerationContext;
import com.ibm.websphere.wssecurity.wssapi.WSSTimestamp;
import com.ibm.websphere.wssecurity.wssapi.token.SAMLToken;
import com.ibm.websphere.wssecurity.wssapi.token.SecurityToken;
import com.ibm.websphere.wssecurity.callbackhandler.X509ConsumeCallbackHandler;
import com.ibm.websphere.wssecurity.callbackhandler.X509GenerateCallbackHandler;
import com.ibm.websphere.wssecurity.wssapi.WSSException;
import com.ibm.websphere.wssecurity.wssapi.signature.WSSSignPart;
import com.ibm.websphere.wssecurity.wssapi.signature.WSSSignature;
import com.ibm.websphere.wssecurity.wssapi.verification.WSSVerification;
import com.ibm.websphere.wssecurity.wssapi.token.X509Token;
import com.ibm.wsspi.wssecurity.core.token.config.WSSConstants;
import com.ibm.wsspi.wssecurity.saml.config.SamlConstants;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.InputStream;
import java.security.InvalidAlgorithmParameterException;
import java.security.NoSuchAlgorithmException;
import java.security.NoSuchProviderException;
import java.security.cert.CertStore;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import java.security.cert.CollectionCertStoreParameters;
import java.security.cert.X509Certificate;
import java.util.HashSet;
import java.util.Set;
import java.util.HashMap;
import java.util.Map;
import javax.xml.ws.BindingProvider;
public class SampleSamlSVClient {
private String urlHost = "localhost";
private String urlPort = "9080";
private static final String CONTEXT_BASE = "/WSSampleSei/";
private static final String ECHO_CONTEXT12 = CONTEXT_BASE+"EchoService12";
private String message = "HELLO";
private String uriString = "http://" + urlHost + ":" + urlPort;
private String endpointURL = uriString + ECHO_CONTEXT12;
private String input = message;
/**
* main()
*
* consulte printusage() para conocer los argumentos de línea de mandatos
*
* @param args
*/
public static void main(String[] args) {
SampleSamlSVClient sample = new SampleSamlSVClient();
sample.CallService();
}
/**
* Los CallService Parms ya se han leído. Ahora se debe llamar a las clases de proxy de servicio.
*
*/
void CallService() {
String response = "ERROR!:";
try {
System.setProperty("com.ibm.SSL.ConfigURL", "raíz_perfil/properties/ssl.client.props");
System.setProperty("java.security.auth.login.config", "raíz_perfil/properties/wsjaas.conf");
//Solicitar la señal SAML desde un STS externo
WSSFactory factory = WSSFactory.getInstance();
String STS_URI = "https://externalstsserverurl:port/TrustServerWST13/services/RequestSecurityToken";
String ENDPOINT_URL = "http://localhost:9080/WSSampleSei/EchoService";
WSSGenerationContext gencont1 = factory.newWSSGenerationContext();
WSSConsumingContext concont1 = factory.newWSSConsumingContext();
HashMap<Object, Object> cbackMap1 = new HashMap<Object, Object>();
cbackMap1.put(SamlConstants.STS_ADDRESS, STS_URI);
cbackMap1.put(SamlConstants.SAML_APPLIES_TO, ENDPOINT_URL);
cbackMap1.put(SamlConstants.TRUST_CLIENT_WSTRUST_NAMESPACE, "http://docs.oasis-open.org/ws-sx/ws-trust/200512");
cbackMap1.put(SamlConstants.TRUST_CLIENT_COLLECTION_REQUEST, "false");
cbackMap1.put(SamlConstants.TOKEN_TYPE, WSSConstants.SAML.SAML11_VALUE_TYPE);
cbackMap1.put(SamlConstants.CONFIRMATION_METHOD, "sender-vouches");
SAMLGenerateCallbackHandler cbHandler1 = new SAMLGenerateCallbackHandler(cbackMap1);
// Añadir UNT a solicitud de confianza
UNTGenerateCallbackHandler utCallbackHandler = new UNTGenerateCallbackHandler("testuser", "testuserpwd");
SecurityToken ut = factory.newSecurityToken(UsernameToken.class, utCallbackHandler);
gencont1.add(ut);
cbHandler1.setWSSConsumingContextForTrustClient(concont1);
cbHandler1.setWSSGenerationContextForTrustClient(gencont1);
SecurityToken samlToken = factory.newSecurityToken(SAMLToken.class, cbHandler1, "system.wss.generate.saml");
System.out.println("SAMLToken id = " + samlToken.getId());
// Inicializar cliente de servicios web
EchoService12PortProxy echo = new EchoService12PortProxy();
echo._getDescriptor().setEndpoint(endpointURL);
// Configurar propiedades SOAPAction
BindingProvider bp = (BindingProvider) (echo._getDescriptor().getProxy());
Map<String, Object> requestContext = bp.getRequestContext();
requestContext.put(BindingProvider.ENDPOINT_ADDRESS_PROPERTY, endpointURL);
requestContext.put(BindingProvider.SOAPACTION_USE_PROPERTY, Boolean.TRUE);
requestContext.put(BindingProvider.SOAPACTION_URI_PROPERTY, "echoOperation");
// Inicializar WSSGenerationContext
WSSGenerationContext gencont = factory.newWSSGenerationContext();
gencont.add(samlToken);
// Añadir señales X.509 para la protección de mensajes
X509GenerateCallbackHandler x509callbackHandler = new X509GenerateCallbackHandler(
null,
"raíz_perfil/etc/ws-security/samples/dsig-sender.ks",
"JKS",
"client".toCharArray(),
"soaprequester",
"client".toCharArray(),
"CN=SOAPRequester, OU=TRL, O=IBM, ST=Kanagawa, C=JP", null);
SecurityToken x509 = factory.newSecurityToken(X509Token.class,
x509callbackHandler, "system.wss.generate.x509");
WSSSignature sig = factory.newWSSSignature(x509);
sig.setSignatureMethod(WSSSignature.RSA_SHA1);
WSSSignPart sigPart = factory.newWSSSignPart();
sigPart.setSignPart(samlToken);
sigPart.addTransform(WSSSignPart.TRANSFORM_STRT10);
sig.addSignPart(sigPart);
sig.addSignPart(WSSSignature.BODY);
// Añadir indicación de fecha y hora
WSSTimestamp timestamp = factory.newWSSTimestamp();
gencont.add(timestamp);
sig.addSignPart(WSSSignature.TIMESTAMP);
gencont.add(sig);
WSSConsumingContext concont = factory.newWSSConsumingContext();
// Preparar para la consumición de indicación de fecha y hora en mensaje de respuesta
concont.add(WSSConsumingContext.TIMESTAMP);
// Preparar para verificar la firma digital en mensaje de respuesta
X509Certificate x509cert = null;
try {
InputStream is = new FileInputStream("raíz_perfil/etc/ws-security/samples/intca2.cer");
CertificateFactory cf = CertificateFactory.getInstance("X.509");
x509cert = (X509Certificate)cf.generateCertificate(is);
} catch(FileNotFoundException e1){
throw new WSSException(e1);
} catch (CertificateException e2) {
throw new WSSException(e2);
}
Set<Object> eeCerts = new HashSet<Object>();
eeCerts.add(x509cert);
java.util.List<CertStore> certList = new java.util.ArrayList<CertStore>();
CollectionCertStoreParameters certparam = new CollectionCertStoreParameters(eeCerts);
CertStore cert = null;
try {
cert = CertStore.getInstance("Collection", certparam, "IBMCertPath");
} catch (NoSuchProviderException e1) {
throw new WSSException(e1);
} catch (InvalidAlgorithmParameterException e2) {
throw new WSSException(e2);
} catch (NoSuchAlgorithmException e3) {
throw new WSSException (e3);
}
if(certList != null ){
certList.add(cert);
}
X509ConsumeCallbackHandler callbackHandlerVer = new X509ConsumeCallbackHandler(
"raíz_perfil/etc/ws-security/samples/dsig-receiver.ks",
"JKS",
"server".toCharArray(),
certList,
java.security.Security.getProvider("IBMCertPath"));
WSSVerification ver = factory.newWSSVerification(X509Token.class, callbackHandlerVer);
ver.addRequiredVerifyPart(WSSVerification.BODY);
concont.add(ver);
gencont.process(requestContext);
concont.process(requestContext);
// Crear el objeto de entrada
EchoStringInput echoParm =
new com.ibm.was.wssample.sei.echo.ObjectFactory().createEchoStringInput();
echoParm.setEchoInput(input);
System.out.println(">> CLIENT: SEI Echo to " + endpointURL);
// Llamar al servicio
response = echo.echoOperation(echoParm).getEchoResponse();
System.out.println(">> CLIENT: SEI Echo invocation complete.");
System.out.println(">> CLIENT: SEI Echo response is: " + response);
} catch(Exception e) {
System.out.println(">> CLIENT: ERROR: SEI Echo EXCEPTION.");
e.printStackTrace();
}
}
}
Cuando este ejemplo de aplicación de cliente de servicios web se ejecute correctamente,
recibirá mensajes como los siguientes:
SAMLToken id = _6CDDF0DBF91C044D211271166233407
Recuperando documento en 'file:raíz_perfil/.../wsdl/'.
>> CLIENT: SEI Echo to http://localhost:9443/WSSampleSei/EchoService12
>> CLIENT: SEI Echo invocation complete.
>> CLIENT: SEI Echo response is: SOAP12==>>HELLO