El objetivo de la aserción de identidad es confirmar la identidad
autenticada del cliente de origen desde un servicio web a un servicio web en sentido
descendiente. Puede configurar la autenticación de aserción de identidad del servidor. Absténgase de configurar la aserción de identidad desde
un cliente puro.
Acerca de esta tarea
Importante: Existe una diferencia importante entre la
versión 5.x y la versión 6.0.x y aplicaciones posteriores.
La información sólo da soporte a aplicaciones de la Versión 5.x utilizadas con
WebSphere Application Server Versión 6.0.x y posteriores. La información no se aplica a las aplicaciones de la versión 6.0.x y posteriores.
Para que el servicio web en sentido descendente acepte
la identidad de un cliente de origen (sólo el nombre de usuario), debe
proporcionar una credencial BasicAuth de confianza especial en la que
confíe el servicio web en sentido descendente y pueda autenticarla
satisfactoriamente. Debe especificar el ID de usuario de la credencial
BasicAuth especial en un evaluador de ID de confianza de la configuración
de servicios web en sentido descendente. Para obtener más información sobre los evaluadores de ID de confianza, consulte Evaluador de ID de confianza.
El extremo del servidor pasa la credencial BasicAuth
especial al evaluador de ID de confianza, que devuelve true o
false dependiendo de si el ID es de confianza o no.
Una vez que es de confianza, el nombre de usuario del cliente se correlaciona
con la credencial, que se utiliza para la autorización.
Realice los
pasos siguientes para configurar el servidor para gestionar la
información de autenticación de aserción de identidad:
Procedimiento
- Inicie la herramienta de ensamblaje. Para obtener más información, consulte la información relacionada con las herramientas de ensamblaje.
- Cambie a la perspectiva Java™ Platform, Enterprise Edition (Java EE). Pulse .
- Pulse .
- Pulse con el botón derecho del ratón en el archivo webservices.xml y pulse .
- Pulse el separador Extensiones, que se encuentra al final del editor de servicios web de la herramienta de
ensamblaje.
- Expanda la sección . Las opciones que puede seleccionar son:
- BasicAuth
- Firma
- Aserción de identidad
- LTPA (Lightweight Third Party Authentication)
- Seleccione IDAssertion para autenticar el cliente
mediante los datos de aserción de identidad proporcionados.
El ID de usuario del cliente debe estar en el registro de usuario de destino o en el repositorio,
que se configura en el panel de la consola administrativa para WebSphere Application Server.
Puede seleccionar varias configuraciones de inicio de sesión, que indica que se pueden recibir en el servidor diferentes tipos de información de seguridad. El orden en el cual se añaden las configuraciones de inicio de sesión determina el orden del proceso cuando se recibe una solicitud. Esto
puede ocasionar problemas, si existen varias configuraciones de inicio de
sesión añadidas que tienen señales de seguridad en común. Por ejemplo, la aserción de identidad de ID contiene una señal BasicAuth, que es una señal de confianza.
Para que la aserción de identidad de ID funcione correctamente, debe listar la aserción de identidad delante de BasicAuth en la lista o el proceso de BasicAuth alterará
temporalmente el proceso de aserción de identidad.
- Expanda la sección IDAssertion y seleccione Tipo
de ID y Modalidad de confianza.
- Para Tipo de ID, las opciones son:
- Username
- DN (nombre distinguido)
- X509certificate
Estas opciones son sólo preferencias y no están garantizadas. La mayor parte del tiempo se utiliza la opción de nombre de usuario. Debe elegir el mismo tipo de ID que el cliente.
- Para Modalidad de confianza, las opciones son:
Modalidad de confianza hace referencia a la información
enviada por el cliente como ID de confianza.
- Si selecciona BasicAuth, el cliente envía los datos de
autenticación básica (ID de usuario y contraseña). Estos datos de
BasicAuth se autentican en el registro de usuario configurado. Cuando se
efectúa la autenticación correctamente, el ID de usuario debe formar parte
de la lista de confianza de evaluadores de ID de confianza.
- Si selecciona Firma, se envía el certificado de firmas de
cliente. Este certificado se debe poder correlacionar con el registro de usuario configurado. Para el Sistema operativo local, el nombre común (CN) del nombre distinguido (DN) se correlaciona con un ID de usuario del registro. Para LDAP (Lightweight Directory Access Protocol),
el DN se correlaciona con el registro de la modalidad ExactDN. Si está
en la modalidad CertificateFilter, los atributos se correlacionan en
consecuencia. Asimismo, es necesario que el nombre de usuario de la
credencial generada aparezca en la lista de confianza de evaluadores de ID
de confianza.
Qué hacer a continuación
Para obtener más información sobre cómo iniciarse con el editor de servicios web de la herramienta de ensamblaje, consulte
Configuración de los enlaces de seguridad del servidor con una herramienta de ensamblaje.
Después de especificar
cómo el servidor debe manejar la información de autenticación de aserción de identidad, debe especificar cómo el servidor valida la información de autenticación.
Consulte
la tarea para configurar el servidor para validar la información de autenticación de aserción de identidad.