Module de connexion du jeton de sécurité générique pour le consommateur de jeton

Lorsqu'un message de service Web est reçu, le serveur d'applications appelle le module de connexion du jeton de sécurité générique du consommateur de jeton dans le cadre du processus d'authentification de la sécurité des services Web.

Le module de connexion délègue le processus de validation du jeton au service WS-Trust à l'aide deWS-Trust Validate. Le service de jeton de sécurité WS-Trust traite la demande et renvoie un message RequestSecurityTokenResponse au module de connexion, qui pourrait contenir uniquement un nouveau jeton de sécurité ou un nouveau code d'état de validation. Le jeton renvoyé par le service de jeton de sécurité WS-Trust ou le jeton reçu à l'origine est le jeton d'appelant si celui-ci est requis.

Si l'appel du service d'accréditation renvoie un code d'état non valide ou une erreur, le processus de validation du jeton échoue et le module de connexion génère une exception LoginException.

Le module de connexion et son utilisation du service WS-Trust permettent les actions suivantes :
  • L'échange de jetons de sécurité lorsque les jetons de sécurité entrants ou sortants sont de types différents
  • L'échange de jetons de sécurité lors du mappage d'une identité vers une autre
  • L'évaluation des vérifications d'autorisations pour s'assurer que les utilisateurs authentifiés disposent des autorisations requises pour appeler le service Web cible

Le nom de configuration de connexion JAAS (Java™ Authentication and Authorization Service) est wss.consume.issuedToken, et le nom de classe du gestionnaire de rappels est com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenConsumeCallbackHandler.

Types de jeton pris en charge

Le jeton de réception doit disposer d'une valeur ValueType que le service d'accréditation désigné peut gérer et échanger. La valeur ValidType de jeton valide peut être un type de jeton connu pris en charge par les modules de connexion par défaut du système. Les jetons entrants valides peuvent être un jeton de nom d'utilisateur, un jeton XML ou un jeton de sécurité binaire, incluant les types de jeton suivants :
  • SAML (Security Assertion Markup Language) 2.0
  • SAML 1.1
  • Nom d'utilisateur
  • PassTicket
  • Kerberos
  • Lightweight Third Party Authentication
  • Données d'identification de Tivoli Access Manager
Cependant, siWS-Trust Validate ne complète pas l'échange des jetons et renvoie uniquement un code d'état de validation, le type de jeton entrant doit être l'un des types suivants :
  • SAML 2.0
  • SAML 1.1
  • Nom d'utilisateur
  • Kerberos
  • LTPA v2
  • LTPA
De même, le type de valeur de jeton renvoyé de l'appel WS-Trust doit correspondre à l'un des types de jeton précédents.
Configurations prises en charge Configurations prises en charge:
  • Le jeton reçu qui est envoyé par la partie demandeuse est le jeton spécifié dans la règle.
  • Vous pouvez l'utiliser uniquement à des fins d'authentification. Vous ne pouvez pas utiliser ce jeton comme jeton de protection.
sptcfg

Ensembles de règles

L'implémentation du module de connexion de jetons de sécurité génériques peut prendre en charge les jetons d'authentification pris en charge par les modules de connexion par défaut du système ou par un module de connexion personnalisé. L'implémentation du module de connexion de jetons de sécurité génériques n'ajoute pas un nouveau type de jeton de sécurité dans l'ensemble de règles. Par exemple, si vous envisagez d'utiliser un module de connexion de jeton de sécurité générique pour générer un jeton de nom d'utilisateur, vous pouvez créer un ensemble de règles qui spécifie un jeton de nom d'utilisateur comme jeton d'authentification. Les types de jetons pris en charge par des services de jeton de sécurité définis peuvent être utilisés avec les modules de connexion de jetons génériques. Vous pouvez implémenter des modules de connexion personnalisés pour traiter de nouveaux types de jetons non pris en chage par les modules de connexion de système par défaut.

Liaisons

Lorsque vous configurez des liaisons pour un jeton d'authentification, les options suivantes sont disponibles :
  • Utilisez un module de connexion générique.
  • Utilisez le module de connexion par défaut d'un système existant.
  • Créez votre propre module de connexion personnalisé.

Par exemple, si vous configurez un jeton de nom d'utilisateur, vous pouvez utiliser la configuration de connexion JAAS wss.consume.unt et conserver le comportement existant. Vous pouvez toutefois configurer la connexion JAAS wss.consume.issuedToken pour utiliser le module de connexion générique.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_gensectokenmodtokcons
Nom du fichier : cwbs_gensectokenmodtokcons.html