Module de connexion du jeton de sécurité générique pour le consommateur de jeton
Lorsqu'un message de service Web est reçu, le serveur d'applications appelle le module de connexion du jeton de sécurité générique du consommateur de jeton dans le cadre du processus d'authentification de la sécurité des services Web.
Le module de connexion délègue le processus de validation du jeton au service WS-Trust à l'aide deWS-Trust Validate. Le service de jeton de sécurité WS-Trust traite la demande et renvoie un message RequestSecurityTokenResponse au module de connexion, qui pourrait contenir uniquement un nouveau jeton de sécurité ou un nouveau code d'état de validation. Le jeton renvoyé par le service de jeton de sécurité WS-Trust ou le jeton reçu à l'origine est le jeton d'appelant si celui-ci est requis.
Si l'appel du service d'accréditation renvoie un code d'état non valide ou une erreur, le processus de validation du jeton échoue et le module de connexion génère une exception LoginException.
- L'échange de jetons de sécurité lorsque les jetons de sécurité entrants ou sortants sont de types différents
- L'échange de jetons de sécurité lors du mappage d'une identité vers une autre
- L'évaluation des vérifications d'autorisations pour s'assurer que les utilisateurs authentifiés disposent des autorisations requises pour appeler le service Web cible
Le nom de configuration de connexion JAAS (Java™ Authentication and Authorization Service) est wss.consume.issuedToken, et le nom de classe du gestionnaire de rappels est com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenConsumeCallbackHandler.
Types de jeton pris en charge
- SAML (Security Assertion Markup Language) 2.0
- SAML 1.1
- Nom d'utilisateur
- PassTicket
- Kerberos
- Lightweight Third Party Authentication
- Données d'identification de Tivoli Access Manager
- SAML 2.0
- SAML 1.1
- Nom d'utilisateur
- Kerberos
- LTPA v2
- LTPA

- Le jeton reçu qui est envoyé par la partie demandeuse est le jeton spécifié dans la règle.
- Vous pouvez l'utiliser uniquement à des fins d'authentification. Vous ne pouvez pas utiliser ce jeton comme jeton de protection.
Ensembles de règles
L'implémentation du module de connexion de jetons de sécurité génériques peut prendre en charge les jetons d'authentification pris en charge par les modules de connexion par défaut du système ou par un module de connexion personnalisé. L'implémentation du module de connexion de jetons de sécurité génériques n'ajoute pas un nouveau type de jeton de sécurité dans l'ensemble de règles. Par exemple, si vous envisagez d'utiliser un module de connexion de jeton de sécurité générique pour générer un jeton de nom d'utilisateur, vous pouvez créer un ensemble de règles qui spécifie un jeton de nom d'utilisateur comme jeton d'authentification. Les types de jetons pris en charge par des services de jeton de sécurité définis peuvent être utilisés avec les modules de connexion de jetons génériques. Vous pouvez implémenter des modules de connexion personnalisés pour traiter de nouveaux types de jetons non pris en chage par les modules de connexion de système par défaut.
Liaisons
- Utilisez un module de connexion générique.
- Utilisez le module de connexion par défaut d'un système existant.
- Créez votre propre module de connexion personnalisé.
Par exemple, si vous configurez un jeton de nom d'utilisateur, vous pouvez utiliser la configuration de connexion JAAS wss.consume.unt et conserver le comportement existant. Vous pouvez toutefois configurer la connexion JAAS wss.consume.issuedToken pour utiliser le module de connexion générique.