Module de connexion du jeton de sécurité générique pour le générateur de jetons

Lorsqu'une demande de service Web est effectuée, le serveur d'applications appelle le module de connexion sécurité générique du générateur de jetons dans le cadre du processus d'authentification de la sécurité du service Web.

Le module de connexion délègue le processus de génération de jetons à un service de jeton de sécurité via une demande WS-Trust Issue ou WS-Trust Validate. Le service de jeton de sécurité traite la demande et renvoie un message RequestSecurityTokenResponse au module de connexion. Ce dernier inclut le jeton provenant du message de réponse du service de jeton de sécurité dans l'en-tête de sécurité du message de demande de service Web. Si un jeton n'est pas renvoyé ou qu'une erreur se produit suite à l'appel du service de jeton de sécurité, le module de connexion génère alors un message LoginException et une erreur est renvoyée au client de services Web.

Le module de connexion et son utilisation du service de jeton de sécurité permettent les actions suivantes :
  • L'échange de jetons de sécurité lorsque les jetons de sécurité entrants ou sortants sont de types différents
  • L'échange de jetons de sécurité lors du mappage d'une identité vers une autre
  • L'évaluation des vérifications d'autorisations pour s'assurer que les utilisateurs authentifiés disposent des autorisations requises pour appeler le service Web cible
  • L'échange de jetons est appelé à partir du sujet RunAs Subject ou est généré par l'environnement d'exécution de la sécurité des Services Web. L'échange est basé sur l'ensemble de règles et les liaisons qui sont configurés pour la demande sécurisée.
Pour utiliser le module de connexion du jeton de sécurité générique pour le générateur de jetons, le générateur de jetons dans les liaisons d'ensemble de règles de la sécurité des services Web doit :
  • Indiquer le nom de configuration de connexion JAAS (Java™ Authentication and Authorization Service) correct
  • Spécifier le nom de classe du gestionnaire de rappels
Le nom de configuration de connexion JAAS est wss.generate.issuedToken, et le nom de classe du gestionnaire de rappels est com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenGenerateCallbackHandler. Pour plus d'informations, voir la documentation sur la configuration d'un module de connexion générique pour un jeton d'authentification sur le côté générateur de jetons du processus de sécurité des Services Web.

Types de jeton pris en charge

  • Vous pouvez spécifier un type de jeton dont la valeur ValueType peut être traitée par le service de jeton de sécurité désigné. En fonction du service de jeton de sécurité utilisé, les types de jeton pourraient inclure :
    • SAML (Security Assertion Markup Language) 2.0
    • SAML 1.1
    • Nom d'utilisateur
    • PassTicket
    • Kerberos
    • Lightweight Third Party Authentication
    • Données d'identification de Tivoli Access Manager
  • Le jeton requis qui est envoyé dans le message SOAP au fournisseur de services est le jeton spécifié dans la règle.
  • Vous pouvez l'utiliser uniquement à des fins d'authentification. Vous ne pouvez pas utiliser ce jeton comme jeton de protection. Pour SAML versions 2.0, 1.1 et 1.0, seules les méthodes de confirmation bearer (porteur) et send voucher sont prises en charge.

Vous pouvez configurer le module de connexion du jeton de sécurité générique du générateur de jetons pour qu'il utilise une demande WS-Trust Issue ou WS-Trust Validate pour échanger ou valider le jeton de sécurité. Ces deux options sont décrites dans les sections ultérieures.

WS-Trust Issue

Vous pouvez configurer le module de connexion du générateur de jetons pour qu'il utilise WS-Trust Issue pour demander un jeton de sécurité. Dans ce scénario, le client sécurisé envoie un jeton de sécurité d'authentification à un service de jeton de sécurité dans l'en-tête de sécurité SOAP. Ce jeton de sécurité d'authentification provient de l'un des emplacements suivants :
  • Le sujet RunAs Subject dans le contexte de sécurité actuel
  • Le gestionnaire de rappels configuré dans les liaisons des ensembles de règles du client sécurisé
Une fois le traitement de la demande de service de jeton de sécurité traitée, le service authentifie le jeton et émet le jeton demandé.

WS-Trust Validate

Vous pouvez également configurer le module de connexion du générateur de jetons pour qu'il utilise WS-Trust Validate pour demander un jeton de sécurité. Dans ce scénario, le module de connexion recherche le jeton de sécurité d'authentification dans le sujet RunAs Subject en fonction de la valeur ValueType du jeton configuré. Le module de connexion envoie le jeton dans la demande sécurisée en l'intégrant à l'élément RequestedSecurityToken en tant qu'élément enfant. Il se peut que ce jeton soit encapsulé dans l'élément ValidateTarget ou l'élément d'extension Base. Le service de jeton de sécurité valide le jeton imbriqué dans l'élément RequestedSecurityToken et renvoie un nouveau jeton de sécurité ou un code d'état de validation. Si seul un code d'état de validation est renvoyé, le générateur de jetons utilise le jeton de sécurité d'origine. Bien que le jeton renvoyé peut avoir n'importe quelle valeur ValueType, comme décrit précédemment dans le scénario d'utilisation WS-Trust Issue, le jeton à valider doit être de l'un des types suivants :
  • SAML 2.0
  • SAML 1.1
  • Nom d'utilisateur
  • PassTicket
  • Kerberos
  • LTPA
  • LTPA version 2

Utilisation de WS-Trust Issue ou de WS-Trust Validate

Le module de connexion générique utilise WS-Trust Validate pour valider le jeton à partir du sujet RunAs Subject si les deux conditions suivantes sont vérifiées :
  • Un sujet RunAs Subject existe dans le contexte de sécurité actuel
  • Un seul jeton de sécurité existe dont la valeur correspond à la valeurValueType du jeton requis
Si WS-Trust Validate renvoie un code d'état valide et un jeton de sécurité, le jeton renvoyé est le jeton requis. SiWS-Trust Validate renvoie uniquement un code d'état valide, le jeton existant provenant du sujet RunAs Subject est le jeton requis.

Vous pouvez également sélectionner un jeton à partir du sujet RunAs Subject à des fins de validation et l'échanger contre le jeton requis. Le jeton sélectionné peut avoir une valeur ValueType différente du jeton requis. Pour plus d'informations, voir la documentation sur la configuration du module de connexion d'un jeton de sécurité générique pour un jeton d'authentification sur le côté générateur de jetons du processus de sécurité des Services Web.

Configurations prises en charge Configurations prises en charge: si la valeur ValueType du jeton requis est de type LTPA ou LTPA Version, le module de connexion du jeton de sécurité générique extrait automatiquement WSCredential. Il génère un jeton LTPA ou LTPA version 2 de sécurité de service Web à des fins de validation et d'échange si les conditions suivantes sont vérifiées :
  • Un jeton de sécurité LTPA ou LTPA v2 n'existe pas dans le sujet RunAs Subject.
  • WSCredential existe dans le sujet RunAs Subject.

Lorsqu'un seul jeton de sécurité dans le sujet RunAs correspond à la valeur ValueType du jeton requis, vous pouvez configurer le module de connexion afin qu'il n'appelle pas une demande WS-Trust Validate pour valider le jeton correspondant. Le module de connexion envoie plutôt le jeton correspondant au fournisseur de services en aval sans validation.

Le module de connexion du jeton de sécurité générique utilise automatiquement WS-Trust Issue pour demander le jeton, si les conditions suivantes sont vérifiées :
  • Un sujet RunAs Subject n'existe pas
  • La valeur ValueType d'un jeton n'existe pas dans le sujet RunAs Subject
  • Le module de connexion ne peut pas valider le jeton à partir du sujetRunAs Subject

Une option de configuration impose l'utilisation deWS-Trust Issue dans le module de connexion générique ou de WS-Trust Validate. Pour plus d'informations, voir la documentation sur la configuration d'un module de connexion générique pour un jeton d'authentification sur le côté générateur de jetons du processus de sécurité des Services Web.

sptcfg

Ensembles de règles

L'implémentation du module de connexion du jeton de sécurité générique n'implique pas un nouveau type de jeton dans un ensemble de règles. Par exemple, si vous envisagez d'utiliser un module de connexion générique pour générer un jeton de nom d'utilisateur, vous pouvez créer un ensemble de règles qui spécifie un jeton de nom d'utilisateur comme jeton d'authentification. Certains types de jetons personnalisés ne sont pas pris en charge par les modules de connexion du système par défaut existant. Cependant, vous pouvez implémenter ces types de jeton à l'aide des modules de connexion personnalisés. Ces types de jetons personnalisés sont pris en charge par les modules de connexion de jeton de sécurité générique s'ils sont pris en charge par le service de jeton de sécurité désigné.

Liaisons

Lorsque vous configurez des liaisons pour un jeton d'authentification, les options suivantes sont disponibles :
  • Utilisez un module de connexion générique.
  • Utilisez le module de connexion par défaut d'un système existant.
  • Créez votre propre module de connexion personnalisé.

Par exemple, si vous configurez un jeton de nom d'utilisateur, vous pouvez utiliser la configuration de connexion JAAS wss.generate.unt et conserver le comportement existant. Vous pouvez toutefois configurer la connexion JAAS de wss.generate.issuedToken pour utiliser le module de connexion du jeton de sécurité générique.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_gensectokenmodtokgen
Nom du fichier : cwbs_gensectokenmodtokgen.html