トークン・コンシューマー用の汎用セキュリティー・トークン・ログイン・モジュール
Web サービス・メッセージを受信すると、アプリケーション・サーバー は Web Services Security 認証プロセスの一部として、トークン・コンシューマー用の汎用セキュリティー・トークン・ログイン・モジュールを 呼び出します。
ログイン・モジュールは、WS-Trust Validate を使用して、トークン検証プロセスを WS-Trust に委任します。WS-Trust セキュリティー・トークン・サービスは、この要求を処理し、新規セキュリティー・トークンまたは妥当性検査状況コード のみを含む RequestSecurityTokenResponse メッセージを ログイン・モジュールに戻します。呼び出し元トークンが必要な場合、WS-Trust セキュリティー・トークン・サービス から戻されたトークン、または、元の受信したトークンが、 呼び出し元トークンです。
トラスト・サービス呼び出しが無効状況コードまたはエラーを戻す場合、 トークン妥当性検査プロセスは失敗し、ログイン・モジュール は LoginException 例外を生成します。
- 入力または出力セキュリティー・トークンのタイプが異なる場合のセキュリティー・トークン交換
- 1 つの ID を別の ID にマップする場合のセキュリティー・トークン交換
- 認証されたユーザーがターゲット Web サービスの起動を許可されることを確認するための許可検査の評価
Java™ 認証・承認サービス (JAAS) のログイン構成名は wss.consume.issuedToken であり、コールバック・ハンドラー・クラス名は com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenConsumeCallbackHandler です。
サポートされるトークン・タイプ
- Security Assertion Markup Language (SAML) 2.0
- SAML 1.1
- ユーザー名
- パスチケット (PassTicket)
- Kerberos
- Lightweight Third Party Authentication (LTPA)
- Tivoli® Access Manager クレデンシャル
- SAML 2.0
- SAML 1.1
- ユーザー名
- Kerberos
- LTPA v2
- LTPA

- 要求側によって送信される、受信されたトークンは、 ポリシー内に指定されたトークンです。
- このトークンは認証にのみ使用できます。このトークンを保護トークンとして 使用することはできません。
ポリシー・セット
汎用セキュリティー・トークン・ログイン・モジュールの実装は、システム・デフォルト・ログイン・モジュールまたはカスタム・ログイン・モジュールによってサポートされる認証トークンをサポートできます。 汎用セキュリティー・トークン・ログイン・モジュールの実装によって、ポリシー・セットに新しいセキュリティー・トークンのタイプが追加されることはありません。 例えば、汎用セキュリティー・トークン・ログイン・モジュールを 使用してユーザー名トークンを生成することを計画している場合、 認証トークンとしてユーザー名トークンを指定するポリシー・セットを作成できます。指定されたセキュリティー・トークン・サービスによってサポートされるトークンのタイプは、汎用セキュリティー・トークン・ログイン・モジュールで使用できます。 カスタム・ログイン・モジュールを実装して、既存のデフォルト・システム・ログイン・モジュールでサポートされていない新しいトークンのタイプを処理できます。
バインディング
- 汎用ログイン・モジュールを使用する。
- 既存のシステム・デフォルト・ログイン・モジュールを使用する。
- 独自のカスタム・ログイン・モジュールを作成する。
例えば、ユーザー名トークンを 構成する場合、wss.consume.unt JAAS ログイン構成を 使用し、既存の動作を維持することができます。また一方、汎用ログイン・モジュールを使用するために wss.consume.issuedToken JAAS ログイン を構成できます。