Module de connexion du jeton de sécurité générique pour le générateur de jetons
Lorsqu'une demande de service Web est effectuée, le serveur d'applications appelle le module de connexion sécurité générique du générateur de jetons dans le cadre du processus d'authentification de la sécurité du service Web.
Le module de connexion délègue le processus de génération de jetons à un service de jeton de sécurité via une demande WS-Trust Issue ou WS-Trust Validate. Le service de jeton de sécurité traite la demande et renvoie un message RequestSecurityTokenResponse au module de connexion. Ce dernier inclut le jeton provenant du message de réponse du service de jeton de sécurité dans l'en-tête de sécurité du message de demande de service Web. Si un jeton n'est pas renvoyé ou qu'une erreur se produit suite à l'appel du service de jeton de sécurité, le module de connexion génère alors un message LoginException et une erreur est renvoyée au client de services Web.
- L'échange de jetons de sécurité lorsque les jetons de sécurité entrants ou sortants sont de types différents
- L'échange de jetons de sécurité lors du mappage d'une identité vers une autre
- L'évaluation des vérifications d'autorisations pour s'assurer que les utilisateurs authentifiés disposent des autorisations requises pour appeler le service Web cible
- L'échange de jetons est appelé à partir du sujet RunAs Subject ou est généré par l'environnement d'exécution de la sécurité des Services Web. L'échange est basé sur l'ensemble de règles et les liaisons qui sont configurés pour la demande sécurisée.
- Indiquer le nom de configuration de connexion JAAS (Java™ Authentication and Authorization Service) correct
- Spécifier le nom de classe du gestionnaire de rappels
Types de jeton pris en charge
- Vous pouvez spécifier un type de jeton dont la valeur ValueType peut être traitée par le service de jeton de sécurité désigné. En fonction du service de jeton de sécurité utilisé, les types de jeton pourraient inclure :
- SAML (Security Assertion Markup Language) 2.0
- SAML 1.1
- Nom d'utilisateur
- PassTicket
- Kerberos
- Lightweight Third Party Authentication
- Données d'identification de Tivoli Access Manager
- Le jeton requis qui est envoyé dans le message SOAP au fournisseur de services est le jeton spécifié dans la règle.
- Vous pouvez l'utiliser uniquement à des fins d'authentification. Vous ne pouvez pas utiliser ce jeton comme jeton de protection. Pour SAML versions 2.0, 1.1 et 1.0, seules les méthodes de confirmation bearer (porteur) et send voucher sont prises en charge.
Vous pouvez configurer le module de connexion du jeton de sécurité générique du générateur de jetons pour qu'il utilise une demande WS-Trust Issue ou WS-Trust Validate pour échanger ou valider le jeton de sécurité. Ces deux options sont décrites dans les sections ultérieures.
WS-Trust Issue
- Le sujet RunAs Subject dans le contexte de sécurité actuel
- Le gestionnaire de rappels configuré dans les liaisons des ensembles de règles du client sécurisé
WS-Trust Validate
- SAML 2.0
- SAML 1.1
- Nom d'utilisateur
- PassTicket
- Kerberos
- LTPA
- LTPA version 2
Utilisation de WS-Trust Issue ou de WS-Trust Validate
- Un sujet RunAs Subject existe dans le contexte de sécurité actuel
- Un seul jeton de sécurité existe dont la valeur correspond à la valeurValueType du jeton requis
Vous pouvez également sélectionner un jeton à partir du sujet RunAs Subject à des fins de validation et l'échanger contre le jeton requis. Le jeton sélectionné peut avoir une valeur ValueType différente du jeton requis. Pour plus d'informations, voir la documentation sur la configuration du module de connexion d'un jeton de sécurité générique pour un jeton d'authentification sur le côté générateur de jetons du processus de sécurité des Services Web.

- Un jeton de sécurité LTPA ou LTPA v2 n'existe pas dans le sujet RunAs Subject.
- WSCredential existe dans le sujet RunAs Subject.
Lorsqu'un seul jeton de sécurité dans le sujet RunAs correspond à la valeur ValueType du jeton requis, vous pouvez configurer le module de connexion afin qu'il n'appelle pas une demande WS-Trust Validate pour valider le jeton correspondant. Le module de connexion envoie plutôt le jeton correspondant au fournisseur de services en aval sans validation.
Le module de connexion du jeton de sécurité générique utilise automatiquement WS-Trust Issue pour demander le jeton, si les conditions suivantes sont vérifiées :- Un sujet RunAs Subject n'existe pas
- La valeur ValueType d'un jeton n'existe pas dans le sujet RunAs Subject
- Le module de connexion ne peut pas valider le jeton à partir du sujetRunAs Subject
Une option de configuration impose l'utilisation deWS-Trust Issue dans le module de connexion générique ou de WS-Trust Validate. Pour plus d'informations, voir la documentation sur la configuration d'un module de connexion générique pour un jeton d'authentification sur le côté générateur de jetons du processus de sécurité des Services Web.
sptcfgEnsembles de règles
L'implémentation du module de connexion du jeton de sécurité générique n'implique pas un nouveau type de jeton dans un ensemble de règles. Par exemple, si vous envisagez d'utiliser un module de connexion générique pour générer un jeton de nom d'utilisateur, vous pouvez créer un ensemble de règles qui spécifie un jeton de nom d'utilisateur comme jeton d'authentification. Certains types de jetons personnalisés ne sont pas pris en charge par les modules de connexion du système par défaut existant. Cependant, vous pouvez implémenter ces types de jeton à l'aide des modules de connexion personnalisés. Ces types de jetons personnalisés sont pris en charge par les modules de connexion de jeton de sécurité générique s'ils sont pris en charge par le service de jeton de sécurité désigné.
Liaisons
- Utilisez un module de connexion générique.
- Utilisez le module de connexion par défaut d'un système existant.
- Créez votre propre module de connexion personnalisé.
Par exemple, si vous configurez un jeton de nom d'utilisateur, vous pouvez utiliser la configuration de connexion JAAS wss.generate.unt et conserver le comportement existant. Vous pouvez toutefois configurer la connexion JAAS de wss.generate.issuedToken pour utiliser le module de connexion du jeton de sécurité générique.