Módulo de inicio de sesión de señal de seguridad genérico para el consumidor de señales
Cuando se recibe un mensaje de servicio web, el servidor de aplicaciones llama al módulo de inicio de sesión de señal de seguridad genérico para el consumidor de señales como parte del proceso de autenticación de seguridad de servicios web.
El módulo de inicio de sesión delega el proceso de validación de señal para el servicio WS-Trust utilizando WS-Trust Validate. El servicio de señal de seguridad WS-Trust procesa la solicitud y devuelve un mensaje RequestSecurityTokenResponse al módulo de inicio de sesión, que puede contener una nueva señal de seguridad o código de estado de validación únicamente. La señal devuelta del servicio de señal de seguridad de WS-Trust o la señal recibida original es la señal del llamante si la señal del llamante es necesaria.
Si la llamada de servicio de confianza devuelve un código de estado no válido o un error, el proceso de validación de señal falla y el módulo de inicio de sesión produce una excepción LoginException .
- El intercambio de señales de seguridad cuando las señales de seguridad entrantes o salientes son de tipos diferentes
- El intercambio de señales de seguridad cuando se correlaciona una identidad con otra
- La evaluación de comprobaciones de autorización para asegurarse de que los usuarios autenticados pueden invocar el servicio web de destino
El nombre de configuración de inicio de sesión JAAS (Java™ Authentication and Authorization Service) es wss.consume.issuedToken, y el nombre de clase del manejador de devolución de llamada es com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenConsumeCallbackHandler.
Tipos de señales soportadas
- Security Assertion Markup Language (SAML) 2.0
- SAML 1.1
- Nombre de usuario
- PassTicket
- Kerberos
- LTPA (Lightweight Third Party Authentication)
- Credencial de Tivoli Access Manager
- SAML 2.0
- SAML 1.1
- Nombre de usuario
- Kerberos
- LTPA v2
- LTPA

- La señal recibida que se envía por la parte solicitante es la señal que se especifica en la política.
- Puede utilizar esta señal para la autenticación solamente. No puede utilizar esta señal como señal de protección.
Conjuntos de políticas
La implementación del módulo de inicio de sesión de señal de seguridad genérico puede admitir las señales de autenticación admitidas por los módulos de inicio de sesión predeterminados del sistema o por un módulo de inicio de sesión personalizado. La implementación del módulo de inicio de sesión de señal de seguridad genérico no añade un nuevo tipo de señal de seguridad en el conjunto de políticas. Por ejemplo, si tiene previsto utilizar un módulo de inicio de sesión de señal de seguridad genérico para generar una señal de nombre de usuario, puede crear un conjunto de políticas que especifique una señal de nombre de usuario como señal de autenticación. Los tipos de señales admitidos por los servicios de señal de seguridad designados se pueden utilizar con los módulos de inicio de sesión de señal de seguridad genéricos. Puede implementar los módulos de inicio de sesión personalizados para procesar cualquier tipo de señal nuevo no admitido por los módulos de inicio de sesión del sistema predeterminados existentes.
Enlaces
- Utilice un módulo de inicio de sesión genérico.
- Utilice un módulo de inicio de sesión predeterminado de sistema existente.
- Cree su propio módulo de inicio de sesión personalizado.
Por ejemplo, si configura una señal de nombre de usuario, puede utilizar la configuración de inicio de sesión JAAS wss.consume.unt y mantener el comportamiento existente. Sin embargo, puede configurar el inicio de sesión JAAS wss.consume.issuedToken para utilizar el módulo de inicio de sesión genérico.