Association du jeton de générateur à l'aide d'API WSS pour protéger l'authenticité des messages
Lorsque vous indiquez le générateur de jetons, les informations sont utilisées côté générateur pour générer le jeton de sécurité.
Avant de commencer
L'architecture de jetons connectables et de traitement de jeton dans l'environnement d'exécution de la sécurité des services Web réutilise la même interface de jeton de sécurité et le même module de connexion JAAS (Java™ Authentication and Authorization Service) des API de sécurité des services Web (WSS API). La même implémentation de création et validation de jeton peut être utilisée dans les interfaces WSS API et WSS SPI de l'environnement d'exécution de la sécurité des services Web.
Notez que l'élément du nom de clé (KeyName) n'est pas pris en charge dans le serveur d'applications car il n'existe pas d'assertion de stratégie de nom de clé définie dans le projet de spécification Web Services Security d'OASIS en cours.
Pourquoi et quand exécuter cette tâche
Le gestionnaire d'appel JAAS (CallbackHandler) et le module de connexion JAAS (LoginModule) sont responsables de la création du jeton de sécurité côté générateur et de la validation (authentification) de ce jeton côté destinataire.
Par exemple, côté générateur, le jeton Username est créé à l'aide du module de connexion JAAS, puis le gestionnaire d'appel JAAS sert à transmettre les données d'authentification. Le module de connexion JAAS crée l'objet Username SecurityToken et le transmet au module d'exécution de sécurité des services Web.
Ensuite, côté destinataire, le format XML du jeton Username est transmis au module de connexion JAAS pour validation ou authentification et le gestionnaire d'appel JAAS permet d'envoyer les données d'authentification de l'environnement de sécurité des Services Web au module de connexion. Une fois le jeton authentifié, l'objet Username SecurityToken est créé et transmis à l'environnement d'exécution de la sécurité des services Web.
- Jeton de sécurité (SecurityTokenImpl)
- Jeton de sécurité binaire (BinarySecurityTokenImpl)
- Jeton de clé dérivée
- Jeton de contexte de sécurité (SCT)
- Jeton de nom d'utilisateur
- Propagation de jeton LTPA
- Jeton LTPA
- Jeton X509PKCS7
- Jeton X509PKIPath
- Jeton X509v3
- Jeton Kerberos v5
Le jeton Username, les jetons X.509 et les jetons LTPA sont utilisés par défaut pour l'authenticité des messages. Le jeton de clé dérivée et les jetons X.509 sont utilisés par défaut pour la signature et le chiffrement.
L'API WSS et la SPI WSS sont uniquement prises en charge sur le client. Pour indiquer le type de jeton de sécurité côté générateur, vous pouvez aussi configurer des ensembles de règles à l'aide de la console d'administration. Vous pouvez également utiliser les API WSS ou des ensembles de règles pour faire correspondre des jetons de sécurité du destinataire.
Les implémentations par défaut de module de connexion et de rappel sont conçues pour être utilisées ensemble, à savoir avec une partie générateur et une autre destinataire. Pour utiliser les implémentations par défaut, sélectionnez le jeton de sécurité de générateur et de destinataire approprié dans une paire. Par exemple, sélectionnez system.wss.generate.x509 dans le générateur de jetons et system.wss.consume.x509 dans le destinataire de jeton lorsque le jeton X.509 est obligatoire.
Pour configurer le jeton de sécurité côté générateur, servez-vous de l'interface du générateur de jeton préconfigurée à partir des API WSS afin de suivre la procédure de configuration ci-dessous :