Aserción de identidad en un mensaje SOAP

La aserción de identidad es un método para expresar la identidad del remitente (por ejemplo, el nombre de usuario) en un mensaje SOAP. Cuando se utiliza la aserción de identidad como método de autenticación, la decisión de autenticación se toma basándose sólo en el nombre de la identidad, y no en información de otro tipo como, por ejemplo, contraseñas y certificados.

Importante: Hay una diferencia importante entre las aplicaciones de la versión 5.x y la versión 6.0.x y posteriores. La información de este artículo da soporte únicamente a las aplicaciones de la versión 5.x que se utilizan con WebSphere Application Server Versión 6.0.x y posterior. La información no se aplica a las aplicaciones de la versión 6.0.x y posteriores.
La aserción de identidad requiere:
Tipo de ID
La implementación de seguridad de servicios web en WebSphere Application Server puede manejar estos tipos de identidad:
Nombre de usuario
Denota el nombre de usuario, por ejemplo, el del sistema operativo local (por ejemplo, alicia). Este nombre se incorpora en el elemento <Username> del elemento <UsernameToken>.
DN
Denota el nombre distinguido (DN) del usuario, por ejemplo, "CN=alice, O=IBM, C=US". Este nombre se incorpora en el elemento <Username> del elemento <UsernameToken>.
Certificado X.509
Representa la identidad del usuario como un certificado X.509 en lugar de un nombre de serie. Este certificado se incorpora en el elemento <BinarySecurityToken>.
Gestión de confianza
El host intermediario en el itinerario del mensaje SOAP puede comprobar la identidad reclamada del remitente inicial. Para esta comprobación están soportados dos métodos (denominados modalidad de confianza):
Autenticación básica
El intermediario añade el par de nombre de usuario y contraseña al mensaje.
Firma
El intermediario firma digitalmente el elemento <UsernameToken> del remitente inicial.
Nota: Esta modalidad de confianza no da soporte al tipo de ID de certificado X.509.
Caso típico
La aserción de identidad se utiliza normalmente en los entornos de varios saltos donde el mensaje SOAP pasa a través de uno o más hosts intermediarios. El host intermediario autentica al remitente inicial. En el ejemplo siguiente se describe el proceso:
  1. El remitente inicial envía un mensaje SOAP al host intermediario con información de autenticación incorporada. Esta información de autenticación puede ser un par de nombre de usuario y contraseña con una señal LTPA (Lightweight Third Party Authentication).
  2. El host intermediario autentica al remitente inicial según la información de autenticación incorporada.
  3. El host intermediario elimina la información de autenticación del mensaje SOAP y la sustituye por el elemento <UsernameToken>, que contiene un nombre de usuario.
  4. El host intermediario comprueba la confianza según la modalidad de confianza.
  5. El host intermediario envía el mensaje SOAP actualizado al receptor último.
  6. El receptor último comprueba la confianza comparándola con la información del host intermediario según la modalidad de confianza configurada. Asimismo, se invoca el evaluador de ID de confianza.
  7. Si el receptor final establece confianza, éste invoca el servicio web con la autorización del nombre de usuario (esto es, el remitente inicial) en el mensaje SOAP.

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_idassert
File name: cwbs_idassert.html