Módulo de Login do Token de Segurança Genérico para o Gerador de Token
Quando uma solicitação de serviço da Web for feita, o servidor de aplicativos chama o módulo de login do token de segurança genérico para o gerador de token como parte do processo de autenticação do Web Service Security.
O módulo de login delega o processo de geração de token a um Security Token Service (STS) por meio de um pedido WS-Trust Issue ou WS-Trust Validate. O STS processa o pedido e retorna uma mensagem RequestSecurityTokenResponse ao módulo de login. O módulo de login inclui o token a partir da mensagem de resposta STS no cabeçalho de segurança da mensagem de solicitação de serviço da Web. Se um token não for retornado ou ocorrer um erro a partir da chamada STS, então o módulo de login produzirá uma mensagem LoginException e um erro será retornado para o cliente de serviços da Web.
- Uma troca de tokens de segurança quando os tokens de segurança recebidos ou de saída são diferentes tipos de token
- Uma troca de tokens de segurança ao mapear uma identidade para outra identidade
- A avaliação de autorização verifica para garantir que os usuários autenticados tenham permissão para chamar o serviço da Web de destino
- A troca de tokens é chamada a partir do RunAs Subject ou gerada pelo ambiente de tempo de execução do Web Services Security. A troca baseia-se no conjunto de políticas e ligações configurados para a solicitação de confiança.
- Especificar o nome de configuração de login Java™ Authentication and Authorization Service (JAAS) apropriado
- Especificar o nome de classe do manipulador de retorno de chamada
Tipos de Tokens Suportados
- É possível especificar qualquer tipo de token cujo valor ValueType
pode ser processado pelo STS designado. Dependendo do STS usado,
os tipos de tokens podem incluir:
- Security Assertion Markup Language (SAML) 2.0
- SAML 1.1
- Nome do usuário
- PassTicket
- Kerberos
- LTPA (Lightweight Third Party Authentication)
- Credencial do Tivoli Access Manager
- O token solicitado enviado na mensagem SOAP para o provedor de serviços é o token especificado na política.
- Este token pode ser usado apenas para autenticação. Este token não pode ser usado como um token de proteção. Para SAML Versão 2.0, 1.1 e 1.0, apenas os métodos de confirmação de transmissão e send voucher são suportados.
É possível configurar o módulo de login do token de segurança genérico para o gerador de token usar um pedido WS-Trust Issue ou WS-Trust Validate para trocar ou validar o token de segurança. Estas duas opções são descritas nas seções subsequentes.
WS-Trust Issue
- O RunAs Subject é o contexto de segurança atual
- O manipulador de retorno de chamada configurado nas ligações para os conjuntos de políticas do cliente de confiança
WS-Trust Validate
- SAML 2.0
- SAML 1.1
- Nome do Usuário
- PassTicket
- Kerberos
- LTPA
- LTPA Versão 2
Use WS-Trust Issue ou WS-Trust Validate
- Existe um RunAs Subject no contexto de segurança atual
- Existe apenas um token de segurança cujo tipo de valor corresponde ao valor ValueType para o token solicitado
Além disso, você pode selecionar um token do RunAs Subject para validação e trocá-lo pelo token solicitado. O token selecionado pode ter um valor ValueType diferente do token solicitado. Para obter informações adicionais, consulte a documentação sobre como configurar um módulo de login do token de segurança genérico para um token de autenticação no lado do gerador de token do processo do Web Services Security.

- Um token se segurança LTPA ou LTPA v2 não existe no RunAs Subject.
- Um WSCredential existe no RunAs Subject.
Quando houver apenas um token de segurança em RunAs Subject que corresponde ao ValueType do token solicitado, será possível configurar o módulo de login para não chamar um pedido WS-Trust Validate para validar o token correspondente. Em vez disso, o módulo de login envia o token correspondente para o provedor de serviços de recebimento de dados sem validação.
O módulo de login do token de segurança genérico usa automaticamente WS-Trust Issue para solicitar o token, se as seguintes condições forem verdadeiras:- Não existe um RunAs Subject
- Um valor ValueType de token correspondente não existe no RunAs Subject
- O módulo de login não pode validar o token a partir de RunAs Subject
Uma opção de configuração aplica o uso do WS-Trust Issue no módulo de login genérico ou o WS-Trust Validate. Para obter informações adicionais, consulte a documentação sobre como configuração um módulo de login genérico para um token de autenticação no lado do gerador de token do processo do Web Services Security.
sptcfgConjuntos de políticas
A implementação do módulo de login do token de segurança genérico não envolve um novo tipo de token em um conjunto de políticas. Por exemplo, se você planeja usar um módulo de login genérico para gerar um token do nome do usuário, poderá criar um conjunto de políticas que especifica um token do nome do usuário como um token de autenticação. Alguns tipos de tokens customizados não são suportados pelos módulos de login do sistema padrão existentes. No entanto, é possível implementar estes tipos de tokens usando módulos de login customizados. Estes tipos de tokens customizados serão suportados por módulos de login do token de segurança genéricos se forem suportados pelo STS designado.
Ligações
- Usar um módulo de login genérico.
- Usar um módulo de login padrão do sistema existente.
- Criar seu próprio módulo de login customizado.
Por exemplo, se você configurar um token do nome do usuário, poderá usar a configuração de login do JAAS wss.generate.unt e manter o comportamento existente. No entanto, você pode configurar o login do JAAS wss.generate.issuedToken para usar o módulo de login do token de segurança genérico.