Asserção de Identidade em uma Mensagem SOAP
Asserção de identidade é um método para expressar a identidade do emissor (por exemplo, nome do usuário) em uma mensagem SOAP. Quando a asserção de identidade é utilizada como um método de autenticação, a decisão de autenticação é executada com base apenas no nome da identidade e não em outras informações, como senhas e certificados.
Importante: Há uma distinção importante
entre os aplicativos da Versão 5.x e Versão 6.0.x e posteriores. As informações neste artigo suportam apenas aplicativos da Versão 5.x que são usados com o WebSphere Application Server Versão 6.0.x e posterior. As informações não se aplicam aos aplicativos Versão 6.0.x e posterior.
A asserção de identidade envolve:
- Tipo de ID
- A implementação do Web Services Security no WebSphere Application Server pode manipular esses tipos de identidade:
- Nome do Usuário
- Indica o nome do usuário, como aquele no sistema operacional local (por exemplo, alice). Esse nome é integrado no elemento <Username> dentro do elemento <UsernameToken>.
- DN
- Denota o Nome Distinto (DN) para o usuário, tal como "CN=alice, O=IBM, C=US". Esse nome é integrado no elemento <Username> dentro do elemento <UsernameToken>.
- Certificado X.509
- Representa an identidade do usuário como um certificado X.509 em vez de um nome de cadeia. Esse certificado é integrado no elemento <BinarySecurityToken>.
- Gerenciando a confiança
- O host intermediário no itinerário da mensagem SOAP pode confirmar a identidade alegada pelo emissor inicial. Dois métodos (chamados modo de confiança) são suportados para essa asserção:
- Autenticação Básica
- O intermediário adiciona seu par de nome de usuário e senha à mensagem.
- Signature
- O intermediário assina digitalmente o elemento <UsernameToken> do emissor inicial. Nota: Este modo de confiança não suporta o tipo de ID de certificado X.509.
- Cenário típico
- A asserção de ID é utilizada, geralmente, no ambiente de vários saltos, no qual a mensagem SOAP passa por um ou mais hosts intermediários. O host intermediário autentica o emissor inicial. O cenário a seguir descreve o processo:
- O emissor inicial envia uma mensagem SOAP ao host intermediário com algumas informações de autenticação integradas. Essas informações de autenticação podem ser um par de nome de usuário e senha com um token LTPA (Lightweight Third Party Authentication).
- O host intermediário autentica o emissor inicial de acordo com as informações de autenticação integradas.
- O host intermediário remove as informações de autenticação da mensagem SOAP e as substitui pelo elemento <UsernameToken> que contém um nome de usuário.
- O host intermediário confirma a confiança de acordo com o modo de confiança.
- O host intermediário envia a mensagem SOAP atualizada para o receptor final.
- O receptor final verifica a confiança em relação às informações do host intermediário de acordo com o modo de confiança configurado. Além disso, o avaliador de ID confiável é chamado.
- Se a confiança for estabelecida pelo receptor final, o receptor chamará o serviço da Web sob a autorização do nome do usuário (ou seja, o emissor inicial) na mensagem SOAP.