Habilitación de la aserción de identidad con la validación de la confianza utilizando JAAS

Al habilitar la aserción de identidad con una validación de confianza, una aplicación puede utilizar la configuración de inicio de sesión JAAS para realizar una aserción de identidad mediante programa.

Acerca de esta tarea

Para habilitar una aserción de identidad con validación de la confianza, siga los pasos siguientes:

Procedimiento

  1. Cree un módulo de inicio de sesión personalizado para realizar una validación de la confianza. El módulo de inicio de sesión debe establecer la información de confianza y de identidad en el estado compartido, que seguidamente se pasa al módulo IdentityAssertionLoginModule. La información de confianza y de identidad se almacena en una correlación en el estado compartido bajo la clave com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.state. Si esta clave no está presente en el estado compartido, el módulo IdentityAssertionLoginModule genera un error WSLoginFailedException. El módulo de inicio de sesión personalizado debe incluir la siguiente información:
    • Una clave de confianza denominada com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.trusted. Si la clave de confianza se establece en true, se establece la confianza. Si la clave de confianza se establece en false, el módulo IdentityAssertionLoginModule genera un error WSLoginFailedException.
    • La identidad del tipo java.security.Principal establecida en la clave com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.principal.
    • La identidad en forma de un certificado java,security.cert.X509Certificate[] establecida en el clave com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.certificates.
    Nota: Si se proporcionan un principal y un certificado, se utiliza el principal y se emite un aviso.
  2. Cree una nueva configuración JAAS (Java™ Authentication and Authorization Service) para los inicios de sesión de la aplicación. Contiene el módulo de inicio de sesión personalizado de validación de la confianza implementado por el usuario y el módulo IdentityAssertionLoginModule. Para realizar una configuración de inicio de sesión de aplicación desde la consola administrativa, complete los pasos siguientes:
    1. Pulse Seguridad > Seguridad global.
    2. En Java Authentication and Authorization Service, pulse Inicios de sesión de la aplicación> Nuevo.
    3. Proporcione un alias a la configuración de JAAS y pulse Aplicar.
    4. En Propiedades adicionales, pulse Módulos de inicio de sesión JAAS > Nuevo.
    5. Especifique el nombre de clase de módulo del módulo de inicio de sesión personalizado de validación de la confianza implementado por el usuario y, a continuación, pulse Aplicar.
    6. Especifique el nombre de clase de módulo com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.
    7. Asegúrese de que las clases de nombre de clase de módulo están en el orden correcto. El módulo de inicio de sesión de validación de la confianza implementado por el usuario debe ser la primera clase que aparece en la lista y el módulo IdentityAssertionLoginModule la segunda.
    8. Pulse Guardar. La aplicación utiliza la nueva configuración de JAAS para realizar una aserción de identidad.

Qué hacer a continuación

Ahora una aplicación puede utilizar la configuración de inicio de sesión JAAS para realizar una aserción de identidad mediante programa. La aplicación puede crear un contexto de inicio de sesión para la configuración JAAS creada en el paso 2. A continuación, puede iniciar la sesión en ese contexto de inicio de sesión con la identidad con la que se confirma. Si el inicio de sesión se realiza correctamente, esa identidad puede establecerse en el proceso en ejecución actual, como en el ejemplo siguiente:
MyCallbackHandler handler = new MyCallbackHandler(new MyPrincipal(“Joe”));
LoginContext lc = new LoginContext(“MyAppLoginConfig”, handler);
lc.login();  //asumir satisfactorio
Subject s = lc.getSubject();
WSSubject.setRunAsSubject(s);
// A partir de aquí, la identidad runas es “Joe”

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_identity_assert
File name: tsec_identity_assert.html