Modules de connexion du jeton de sécurité générique

Les modules de connexion du jeton de sécurité générique sont les modules de connexion JAAS (Java™ Authentication and Authorization Service). Ces modules émettent, valident et échangent des jetons de sécurité à l'aide d'un service de jeton de sécurité externe.

Généralités

Les processus de génération et de consommation de jetons de sécurité des services Web appellent ces modules de connexion. Le composant de sécurité des Services Web fournit les modules de connexion par défaut pour les jetons communs tels les exemples suivants :
  • Jetons de nom d'utilisateur
  • Jetons X.509
  • Jetons Kerberos
  • Jetons LTPA (Lightweight Third Party Authentication)
  • Jetons SAML (Security Assertion Markup Language)
  • Jetons de contexte de sécurité
Pour plus d'informations sur les implémentations de jeton, voir la documentation relative aux implémentations par défaut des interfaces de programmation du fournisseur de services de sécurité des services Web.
Eviter les incidents Eviter les incidents: Si vous utilisez IBM® Tivoli Federated Identity Manager comme service de jeton de sécurité externe, vous devez utiliser les versions 6.2.0.9, 6.2.1.2, 6.2.2 ou ultérieures pour éviter des incidents d'échange de jeton LTPA.gotcha

L'illustration ci-après présente le flux d'informations via le processus du module de connexion du jeton de sécurité générique.Processus du module de connexion du jeton de sécurité générique

  1. L'environnement d'exécution du client des services Web hérite de l'identité de l'appelant.
  2. Le module de connexion du jeton de sécurité générique du générateur de jetons envoie une demande de jeton à un service WS-Trust à l'aide d'un clientWS-Trust en utilisant une demande d'émission ou de validation.
  3. Le jeton renvoyé ou validé est défini dans l'en-tête de sécurité du message SOAP en tant que jeton d'authentification. Pour plus d'informations, voir la documentation sur les modules de connexion du jeton de sécurité générique du générateur de jetons.
  4. Le mode de passe associé est envoyé avec le message SOAP au fournisseur de service.
  5. Le module de connexion du jeton de sécurité générique du consommateur de jeton envoie le jeton reçu dans l'en-tête de sécurité du message SOAP figurant dans une demande WS-Trust Validate vers un service WS-Trust désigné.
  6. Il se peut que la demande génère un nouveau jeton ou une notification indiquant que le jeton envoyé a été correctement validé.
  7. Comme demandé, le nouveau jeton ou le jeton validé à l'origine est utilisé comme jeton d'appelant à des fins d'autorisation. Pour plus d'informations, voir la documentation sur les modules de connexion du jeton de sécurité générique du consommateur de jeton.

Un PassTicket est un mot de passe remplaçant à utilisation unique qui est généré de manière dynamique. Vous pouvez utiliser PassTicket pour une authentification auprès d'un service plutôt que d'envoyer le mot de passe.

Scénarios d'utilisation

Le module de connexion du jeton de sécurité générique peut s'avérer utile si un échange de jetons, un mappage d'identité ou une autorisation pour appeler un service Web cible est requis. La liste ci-après explique certains scénarios d'utilisation utiles pour le module de connexion d'un jeton de sécurité générique :
Echange de jetons avec un serveur intermédiaire
Le jeton de sécurité sortant et le jeton de sécurité entrant sont de types différents.
Echange de jetons du côté demandant
Un mappage d'identité est requis pour le demandeur avant d'appeler un service en aval.
Echange de jetons du côté destinataire
Le mappage d'identité appelant est requis une fois le jeton validé.
Autorisation d'appeler le service cible
Le module de connexion envoie le jeton de sécurité entrant et l'adresse de noeud final de son service cible au service WS-Trust. Le serviceWS-Trust complète l'autorisation au niveau du service Web. Il vérifie également si l'appel du service Web cible est autorisé pour le principal contenu dans le jeton d'authentification.

Limitations

Les limitations suivantes existent pour les modules de connexions génériques :
  • Vous pouvez utiliser le jeton, qui est traité par le module de connexion du jeton de sécurité générique, uniquement à des fins d'authentification. Vous ne pouvez pas utiliser le jeton comme jeton de protection pour chiffrer et signer de façon numérique les parties du message.
  • Si le fournisseur de service reçoit un jeton échangé, le jeton doit être compatible avec les modules de connexion par défaut du système Web Service Security du serveur d'applications. Pour plus d'informations, voir la documentation sur le module de connexion du jeton de sécurité générique du consommateur de jeton.
  • Si le fournisseur de services reçoit un jeton validé et non échangé, ce dernier doit être pris en charge par les modules de connexion par défaut du système de sécurité de service Web du serveur d'applications.
  • Lorsque vous utilisez un jeton de sécurité à partir du sujet RunAs pour une validation ou un échange au niveau d'un jeton de sécurité sortant, le jeton de sécurité dans le sujet RunAs doit être identifié de manière unique par la valeur ValueType d'un jeton. Si plusieurs jetons du sujet RunAs sont dotés de la même valeur ValueType, le module de connexion n'utilise pas WS-Trust Validate pour échanger un jeton avec le sujet RunAs. Les modules de connexion utilisent plutôt WS-Trust Issue pour demander un jeton basé sur la configuration de l'ensemble de règles du client sécurisé.

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_gensectokenmod
Nom du fichier : cwbs_gensectokenmod.html