トークン・コンシューマー用の汎用セキュリティー・トークン・ログイン・モジュール

Web サービス・メッセージを受信すると、アプリケーション・サーバー は Web Services Security 認証プロセスの一部として、トークン・コンシューマー用の汎用セキュリティー・トークン・ログイン・モジュールを 呼び出します。

ログイン・モジュールは、WS-Trust Validate を使用して、トークン検証プロセスを WS-Trust に委任します。WS-Trust セキュリティー・トークン・サービスは、この要求を処理し、新規セキュリティー・トークンまたは妥当性検査状況コード のみを含む RequestSecurityTokenResponse メッセージを ログイン・モジュールに戻します。呼び出し元トークンが必要な場合、WS-Trust セキュリティー・トークン・サービス から戻されたトークン、または、元の受信したトークンが、 呼び出し元トークンです。

トラスト・サービス呼び出しが無効状況コードまたはエラーを戻す場合、 トークン妥当性検査プロセスは失敗し、ログイン・モジュール は LoginException 例外を生成します。

ログイン・モジュール、およびログイン・モジュールでの WS-Trust サービスの使用 は、以下のアクションを許可します。
  • 入力または出力セキュリティー・トークンのタイプが異なる場合のセキュリティー・トークン交換
  • 1 つの ID を別の ID にマップする場合のセキュリティー・トークン交換
  • 認証されたユーザーがターゲット Web サービスの起動を許可されることを確認するための許可検査の評価

Java™ 認証・承認サービス (JAAS) のログイン構成名は wss.consume.issuedToken であり、コールバック・ハンドラー・クラス名は com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenConsumeCallbackHandler です。

サポートされるトークン・タイプ

受信するトークン の ValueType 値は、 指定されたトラスト・サービスが処理でき、交換できるものでなければなりません。有効なトークン ValidType 値 は、システム・デフォルト・ログイン・モジュールによってサポートされる 既知のトークン・タイプです。有効な入力トークンは、ユーザー名トークン、XML トークン、 またはバイナリー・セキュリティー・トークンであり、以下のトークン・タイプがあります。
  • Security Assertion Markup Language (SAML) 2.0
  • SAML 1.1
  • ユーザー名
  • パスチケット (PassTicket)
  • Kerberos
  • Lightweight Third Party Authentication (LTPA)
  • Tivoli® Access Manager クレデンシャル
ただし、WS-Trust Validate が トークン交換を実行せず、妥当性検査状況コードのみを戻す場合、入力トークン・タイプ は以下のいずれかのトークン・タイプでなければなりません。
  • SAML 2.0
  • SAML 1.1
  • ユーザー名
  • Kerberos
  • LTPA v2
  • LTPA
また、WS-Trust 呼び出しから戻るトークン値タイプ も、上記のトークン・タイプのうちの 1 つでなければなりません。
サポートされる構成 サポートされる構成:
  • 要求側によって送信される、受信されたトークンは、 ポリシー内に指定されたトークンです。
  • このトークンは認証にのみ使用できます。このトークンを保護トークンとして 使用することはできません。
sptcfg

ポリシー・セット

汎用セキュリティー・トークン・ログイン・モジュールの実装は、システム・デフォルト・ログイン・モジュールまたはカスタム・ログイン・モジュールによってサポートされる認証トークンをサポートできます。 汎用セキュリティー・トークン・ログイン・モジュールの実装によって、ポリシー・セットに新しいセキュリティー・トークンのタイプが追加されることはありません。 例えば、汎用セキュリティー・トークン・ログイン・モジュールを 使用してユーザー名トークンを生成することを計画している場合、 認証トークンとしてユーザー名トークンを指定するポリシー・セットを作成できます。指定されたセキュリティー・トークン・サービスによってサポートされるトークンのタイプは、汎用セキュリティー・トークン・ログイン・モジュールで使用できます。 カスタム・ログイン・モジュールを実装して、既存のデフォルト・システム・ログイン・モジュールでサポートされていない新しいトークンのタイプを処理できます。

バインディング

認証トークン用にバインディングを 構成する場合、以下の選択肢があります。
  • 汎用ログイン・モジュールを使用する。
  • 既存のシステム・デフォルト・ログイン・モジュールを使用する。
  • 独自のカスタム・ログイン・モジュールを作成する。

例えば、ユーザー名トークンを 構成する場合、wss.consume.unt JAAS ログイン構成を 使用し、既存の動作を維持することができます。また一方、汎用ログイン・モジュールを使用するために wss.consume.issuedToken JAAS ログイン を構成できます。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_gensectokenmodtokcons
ファイル名:cwbs_gensectokenmodtokcons.html