Módulo de inicio de sesión de señal de seguridad genérico para el generador de señales
Cuando se realiza una solicitud de servicio web, el servidor de aplicaciones llama al módulo de inicio de sesión de seguridad genérico para el generador de señales como parte del proceso de autenticación de seguridad de servicios web.
El módulo de inicio de sesión delega el proceso de generación de señales a un servicio de señales de seguridad (STS) a través de una solicitud de WS-Trust Issue o WS-Trust Validate. El STS procesa la solicitud y devuelve un mensaje RequestSecurityTokenResponse al módulo de inicio de sesión. El módulo de inicio de sesión incluye la señal del mensaje de respuesta STS en la cabecera de seguridad del mensaje de solicitud de servicio web. Si un símbolo no se devuelve o se produce un error de la llamada STS, el módulo de inicio de sesión genera un mensaje LoginException y se devuelve un error al cliente de servicios web.
- Un intercambio de las señales de seguridad cuando la señales de seguridad entrantes o salientes son de tipos siguientes
- Un intercambio de señales de seguridad al correlacionar identidades
- La evaluación de comprobaciones de autorización para asegurarse de que los usuarios autenticados pueden invocar el servicio web de destino
- El intercambio de señales se invoca desde el RunAs Subject o es generado por el entorno de ejecución de seguridad de servicios web. El intercambio se basa en el conjunto de políticas y en los enlaces configurados para la solicitud de confianza.
- Especificar el nombre de configuración de inicio de sesión JAAS (Java™ Authentication and Authorization Service) adecuado
- Especificar el nombre de clase del manejador de devolución de llamada
Tipos de señales soportadas
- Puede especificar cualquier tipo de señal cuyo valorValueType pueda ser procesado por el STS designado. En función del STS que se utilice, los tipos de señal pueden incluir:
- Security Assertion Markup Language (SAML) 2.0
- SAML 1.1
- Nombre de usuario
- PassTicket
- Kerberos
- Lightweight Third Party Authentication (LTPA)
- Credencial de Tivoli Access Manager
- La señal solicitada que se envía en el mensaje SOAP al proveedor de servicios es la señal que se especifica en la política.
- Puede utilizar esta señal para la autenticación solamente. No puede utilizar esta señal como señal de protección.Para SAML Versión 2.0, 1.1 y 1.0, sólo se soportan métodos de configuración de titular y comprobante de envío.
Puede configurar el módulo de inicio de sesión de señal de seguridad genérico para el generador de señales para utilizar una solicitud WS-Trust Issue o WS-Trust Validate para intercambiar o validar la señal de seguridad. Estas dos opciones se describen en las secciones siguientes.
WS-Trust Issue
- El RunAs Subject en el contexto de seguridad actual
- El manejador de retorno de llamada que se configura dentro de los enlaces de los conjuntos de políticas de cliente de confianza
WS-Trust Validate
- SAML 2.0
- SAML 1.1
- Nombre de usuario
- PassTicket
- Kerberos
- LTPA
- LTPA Versión 2
Utilice WS-Trust Issue o WS-Trust Validate
- Existe un RunAs Subject en el contexto de seguridad actual
- Sólo existe una señal de seguridad cuyo tipo de valor coincide con el valor ValueType para la señal solicitada.
Además, puede seleccionar un símbolo de RunAs Subject para la validación e intercambiarlo para la señal solicitada. La señal seleccionada puede tener un valor ValueType diferente de la señal solicitada. Para obtener más información, consulte la documentación acerca de la configuración de un módulo de inicio de sesión de señal de seguridad genérico para una señal de autenticación en el lado del generador de señales del proceso de seguridad de servicios web.

- Una señal de seguridad LTPA v2 o LTPA no existe en el RunAs Subject.
- Existe un WSCredential en RunAs Subject.
Cuando sólo hay una señal de seguridad en el asunto RunAs que coincida con el ValueType de la señal solicitada, puede configurar el módulo de inicio de sesión para no invocar una solicitud de validación WS-Trust para validar la señal coincidente. En su lugar, el módulo de inicio de sesión envía la señal de coincidencia al proveedor de servicios en sentido descendente sin validación.
El módulo de inicio de sesión de señal de seguridad genérico automáticamente utiliza WS-Trust Issue para solicitar la señal, si se cumplen las siguientes condiciones:- No existe un RunAs Subject
- No existe un valor ValueType de señal coincidente en el RunAs Subject
- El módulo de inicio de sesión no puede validar la señal del RunAs Subject
Una opción de configuración impone el uso de WS-Trust Issue en el módulo de inicio de sesión genérico o de WS-Trust Validate. Para obtener más información, consulte la documentación acerca de la configuración de un módulo de inicio de sesión genérico para una señal de autenticación en el lado del generador de señales del proceso de seguridad de servicios web.
sptcfgConjuntos de políticas
La implementación del módulo de inicio de sesión de señal de seguridad genérico no incluye un nuevo tipo de señal en un conjunto de políticas. Por ejemplo, si tiene previsto utilizar un módulo de inicio de sesión genérico para generar una señal de nombre de usuario, puede crear un conjunto de políticas que especifique una señal de nombre de usuario como señal de autenticación. Algunos tipos de señales de personalización no está soportados por los módulos de inicio de sesión de sistema predeterminados. Sin embargo, puede implementar estos tipos de señales mediante los módulos de inicio de sesión personalizados. Estos tipos de señales personalizadas están soportadas por los módulos de inicio de sesión de señales de seguridad genérico si están soportados por los STS designados.
Enlaces
- Utilice un módulo de inicio de sesión genérico.
- Utilice un módulo de inicio de sesión predeterminado de sistema existente.
- Cree su propio módulo de inicio de sesión personalizado.
Por ejemplo, si configura una señal de nombre de usuario, puede utilizar la configuración de inicio de sesión JAAS wss.generate.unt y mantener el comportamiento existente. Sin embargo, puede configurar el inicio de sesión JAAS wss.generate.issuedToken para utilizar el módulo de inicio de sesión de señal de seguridad genérico.