Conexión de la señal del generador utilizando las API de WSS para proteger la autenticidad del mensaje
Cuando especifique el generador de señales, la información se utiliza en el lado del generador para generar la señal de seguridad.
Antes de empezar
La arquitectura de señales conectables y del proceso de señales en el tiempo de ejecución de Web Services Security reutiliza la misma interfaz de señales de seguridad y el mismo módulo de inicio de sesión JAAS (Java™ Authentication and Authorization Service) de las WSS API (Web Services Security API). Se puede utilizar las mismas creación y validación de señales para la API de WSS y para la SPI de WSS en el tiempo de ejecución de Web Services Security.
Tenga en cuenta que el elemento de nombre de clave, (KeyName), no está soportado en el servidor de aplicaciones debido a que en la especificación actual del borrador de OASIS Web Services Security no se ha definido una aserción de políticas de KeyName.
Acerca de esta tarea
El manejador de retorno de llamada (CallbackHandler) de JAAS y el módulo de inicio de sesión (LoginModule) de JAAS son responsables de crear la señal de seguridad en el lado del generador y de validar (autenticar) la señal de seguridad en el lado del cliente.
Por ejemplo, en el extremo del generador, el LoginModule de JAAS crea la señal Username y utiliza CallbackHandler de JAAS para pasar los datos de autenticación. LoginModule de JAAS crea el objeto Username SecurityToken y lo pasa al tiempo de ejecución de la seguridad de servicios web.
A continuación, en el lado del consumidor, el formato XML de la señal Username se pasa a LoginModule de JAAS para la validación o autenticación y CallbackHandler de JAAS se utiliza para pasar los datos de autenticación desde el tiempo de ejecución de Web Services Security a LoginModule. Después de autenticar la señal, se crea un objeto Username SecurityToken y se pasa al tiempo de ejecución de Web Services Security.
- Señal de seguridad (SecurityTokenImpl)
- Señal de seguridad binaria (BinarySecurityTokenImpl)
- Señal de clave derivada
- Señal de contexto de seguridad (SCT)
- Señal de nombre de usuario
- Propagación de señales LTPA
- Señal LTPA
- Señal X509PKCS7
- Señal X509PKIPath
- Señal X509v3
- Señal Kerberos v5
La señal Username, las señales X.509 y las señales LTPA se utilizan de manera predeterminada para la autenticidad de mensajes. La señal de clave derivada y las señales X.509 se utilizan de manera predeterminada para la firma y el cifrado.
La API de WSS y la SPI de WSS sólo están soportadas en el cliente. Para especificar el tipo de señal de seguridad en el lado del generador, también puede configurar conjuntos de políticas utilizando la consola administrativa. Asimismo, puede utilizar las API de WSS o los conjuntos de políticas para coincidir con las señales de seguridad del consumidor.
Las implementaciones predeterminadas del retorno de llamada y del módulo de inicio de sesión se han diseñado para utilizarse como un par, ambas con el significado de una parte de generador y otra de consumidor. Para utilizar las implementaciones predeterminadas, seleccione el generador apropiado y la señal de seguridad del consumidor en un par. Por ejemplo, seleccione system.wss.generate.x509 en el generador de señales y system.wss.consume.x509 en el consumidor de señales, cuando sea necesaria la señal X.509.
Para configurar la señal de seguridad del lado del generado, utilice la interfaz apropiada del generador de señales preconfigurado desde las API de WSS para completar los pasos de proceso de configuración de señales siguientes: