Módulo de Login do Token de Segurança Genérico para o Consumidor de Token

Quando uma mensagem de serviço da Web for recebida, o servidor de aplicativos chama o módulo de login do token de segurança genérico para o consumidor de token como parte do processo de autenticação do Web Services Security.

O módulo de login delega o processo de validação do token ao serviço WS-Trust usando WS-Trust Validate. O Security Token Service WS-Trust processa o pedido e retorna uma mensagem RequestSecurityTokenResponse ao módulo de login, que pode conter apenas um novo token de segurança ou código de status de validação. O token retornado do Security Token Service WS-Trust ou o token recebido original será o token do responsável pela chamada, se o token do responsável pela chamada for necessário.

Se a chamada de serviço de confiança retornar um código de status inválido ou um erro, o processo de validação do token falhará e o módulo de login produzirá uma exceção LoginException.

O módulo de login e seu uso do Serviço WS-Trust permite as seguintes ações:
  • A troca de tokens de segurança quando os tokens de segurança recebidos ou de saída forem de tipos diferentes
  • A troca de tokens de segurança quando você mapear uma identidade para outra identidade
  • A avaliação de autorização verifica para garantir que os usuários autenticados tenham permissão para chamar o serviço da Web de destino

O nome da configuração de login Java™ Authentication and Authorization Service (JAAS) é wss.consume.issuedToken, e o nome de classe do manipulador de retorno de chamada é com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenConsumeCallbackHandler.

Tipos de Tokens Suportados

O token de recebimento deve ter um valor ValueType que o serviço de confiança designado possa manipular e trocar. O valor ValidType do token válido pode ser um tipo de token conhecido que seja suportado pelos módulos de login padrão do sistema. Os tokens recebidos válidos podem ser um token do nome do usuário, um token XML ou um token de segurança binário, incluindo os seguintes tipos de tokens:
  • Security Assertion Markup Language (SAML) 2.0
  • SAML 1.1
  • Nome do usuário
  • PassTicket
  • Kerberos
  • LTPA (Lightweight Third Party Authentication)
  • Credencial do Tivoli Access Manager
No entanto, se WS-Trust Validate não concluir a troca de tokens e retornar apenas um código de status de validação, o tipo de token recebido deverá ser um dos seguintes tipos de tokens:
  • SAML 2.0
  • SAML 1.1
  • Nome do Usuário
  • Kerberos
  • LTPA v2
  • LTPA
Além disso, o tipo de valor do token de retorno da chamada WS-Trust deve ser um dos tipos de tokens anteriores.
Configurações suportadas Configurações suportadas:
  • O token recebido que é enviado pela parte solicitante é o token especificado na política.
  • Este token pode ser usado apenas para autenticação. Este token não pode ser usado como um token de proteção.
sptcfg

Conjuntos de políticas

A implementação de um módulo de login do token de segurança genérico pode suportar quaisquer tokens de autenticação que forem suportados pelos módulos de login padrão do sistema ou por um módulo de login customizado. A implementação do módulo de login do token de segurança genérico não inclui um novo tipo de token de segurança no conjunto de políticas. Por exemplo, se você planeja usar um módulo de login do token de segurança genérico para gerar um token do nome do usuário, poderá criar um conjunto de políticas que especifica um token do nome do usuário como um token de autenticação. Quaisquer tipos de tokens que forem suportados pelos serviços de token de segurança designados podem ser usados com os módulos de login de token de segurança genéricos. É possível implementar módulos de login customizados para processar quaisquer novos tipos de token que não forem suportados pelos módulos de login do sistema padrão existentes.

Ligações

Ao configurar ligações para um token de autenticação, você tem as seguintes opções:
  • Usar um módulo de login genérico.
  • Usar um módulo de login padrão do sistema existente.
  • Criar seu próprio módulo de login customizado.

Por exemplo, se você configurar um token do nome do usuário, poderá usar a configuração de login do JAAS wss.consume.unt e manter o comportamento existente. No entanto, você pode configurar o login do JAAS wss.consume.issuedToken para usar o módulo de login genérico.


Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_gensectokenmodtokcons
Nome do arquivo: cwbs_gensectokenmodtokcons.html