Aserción de identidad en un mensaje SOAP
La aserción de identidad es un método para expresar la identidad del remitente (por ejemplo, el nombre de usuario) en un mensaje SOAP. Cuando se utiliza la aserción de identidad como método de autenticación, la decisión de autenticación se toma basándose sólo en el nombre de la identidad, y no en información de otro tipo como, por ejemplo, contraseñas y certificados.
Importante: Hay una diferencia importante entre las aplicaciones de la versión
5.x y la versión 6.0.x y posteriores. La información de este artículo da soporte únicamente a las aplicaciones
de la versión 5.x que se utilizan con WebSphere
Application Server Versión 6.0.x y posterior. La información no se aplica a las
aplicaciones de la versión 6.0.x y posteriores.
La aserción de identidad requiere:
- Tipo de ID
- La implementación de seguridad de servicios web en WebSphere Application Server puede manejar estos tipos de identidad:
- Nombre de usuario
- Denota el nombre de usuario, por ejemplo, el del sistema operativo local (por ejemplo, alicia). Este nombre se incorpora en el elemento <Username> del elemento <UsernameToken>.
- DN
- Denota el nombre distinguido (DN) del usuario, por ejemplo, "CN=alice, O=IBM, C=US". Este nombre se incorpora en el elemento <Username> del elemento <UsernameToken>.
- Certificado X.509
- Representa la identidad del usuario como un certificado X.509 en lugar de un nombre de serie. Este certificado se incorpora en el elemento <BinarySecurityToken>.
- Gestión de confianza
- El host intermediario en el itinerario del mensaje SOAP puede comprobar la identidad reclamada del remitente inicial. Para esta comprobación están soportados dos métodos (denominados modalidad de confianza):
- Autenticación básica
- El intermediario añade el par de nombre de usuario y contraseña al mensaje.
- Firma
- El intermediario firma digitalmente el elemento <UsernameToken> del
remitente inicial. Nota: Esta modalidad de confianza no da soporte al tipo de ID de certificado X.509.
- Caso típico
- La aserción de identidad se utiliza normalmente en los entornos de varios saltos donde el mensaje SOAP pasa a través de uno o más hosts intermediarios. El host intermediario autentica al remitente inicial. En el ejemplo siguiente se describe el proceso:
- El remitente inicial envía un mensaje SOAP al host intermediario con información de autenticación incorporada. Esta información de autenticación puede ser un par de nombre de usuario y contraseña con una señal LTPA (Lightweight Third Party Authentication).
- El host intermediario autentica al remitente inicial según la información de autenticación incorporada.
- El host intermediario elimina la información de autenticación del mensaje SOAP y la sustituye por el elemento <UsernameToken>, que contiene un nombre de usuario.
- El host intermediario comprueba la confianza según la modalidad de confianza.
- El host intermediario envía el mensaje SOAP actualizado al receptor último.
- El receptor último comprueba la confianza comparándola con la información del host intermediario según la modalidad de confianza configurada. Asimismo, se invoca el evaluador de ID de confianza.
- Si el receptor final establece confianza, éste invoca el servicio web con la autorización del nombre de usuario (esto es, el remitente inicial) en el mensaje SOAP.