Módulos de Login do Token de Segurança Genéricos
Os módulos de login de token de segurança genéricos são módulos de login Java™ Authentication and Authorization Service (JAAS). Estes módulos de login emitem, validam e trocam tokens de segurança usando um Security Token Service (STS) externo.
Visão geral
Os processos de geração e consumo de tokens do Web Services Security chamam estes módulos de login. O componente Web Services Security fornece módulos de login padrão para tokens comuns, como nos seguintes exemplos:
- Tokens Username
- Tokens X.509
- Tokens do Kerberos
- Tokens Lightweight Third Party Authentication (LTPA)
- Tokens Security Assertion Markup Language (SAML)
- Tokens de contexto de segurança

A ilustração a seguir mostra
o fluxo de informações por meio do processo do módulo de login do
token de segurança genérico.
- A identidade do responsável pela chamada é herdada pelo ambiente de tempo de execução do cliente de serviços da Web.
- O módulo de login do token de segurança genérico para o gerador de token envia um pedido de token para um serviço WS-Trust usando um cliente WS-Trust usando um pedido de emissão ou de validação.
- O token retornado ou validado é configurado no cabeçalho de segurança da mensagem SOAP como um token de autenticação. Para obter informações adicionais, consulte a documentação sobre os módulos de login do token de segurança genéricos para o gerador de token.
- O PassTicket é enviado como parte da mensagem SOAP para o provedor de serviços.
- O módulo de login do token de segurança genérico para o consumidor de token envia o token recebido no cabeçalho de segurança da mensagem SOAP em um pedido WS-Trust Validate para um serviço WS-Trust designado.
- O pedido pode resultar em um novo token ou em uma notificação de que o token enviado foi validado com êxito.
- Conforme necessário, o token novo ou validado originalmente é usado como o token do responsável pela chamada para propósitos de autorização. Para obter informações adicionais, consulte a documentação sobre os módulos de login do token de segurança genéricos para o consumidor de token.
Um PassTicket é uma senha substituta, gerada dinamicamente, de uso único. É possível usar o PassTicket para autenticação em um serviço em vez de enviar a senha real.
Cenários de Uso
O módulo de login do token de segurança genérico pode ser muito útil se a troca de tokens, o mapeamento de identidade ou a autorização para chamar um serviço da Web de destino for necessário. A lista a seguir
explica alguns cenários de uso úteis para um módulo de login
do token de segurança genérico:
- Troca de tokens com um servidor intermediário
- O token de segurança de saída necessário e o token de segurança recebido são de tipos diferentes.
- Troca de tokens no lado solicitante
- É necessário um mapeamento de identidade para o solicitante antes de chamar um serviço de recebimento de dados.
- Troca de tokens no lado de recebimento
- É necessário o mapeamento de identidade de chamada após a validação do token.
- Autorização para chamar o serviço de destino
- O módulo de login envia o token de segurança recebido e seu endereço de terminal em serviço de destino para o serviço WS-Trust. O serviço WS-Trust conclui a autorização no nível de serviço da Web. O serviço WS-Trust verifica se a chamada de serviço da Web de destino está autorizada para a entidade que está contida dentro do token de autenticação.
Limitações
As seguintes limitações existem para os módulos de login genéricos:- É possível usar o token, que é processado pelo módulo de login do token de segurança genérico, apenas para autenticação. O token não pode ser usado como um token de proteção para assinar digitalmente e criptografar partes da mensagem.
- Se o provedor de serviços receber um token trocado, o token deverá ser suportado pelos módulos de login padrão do sistema do Web Service Security do servidor de aplicativos. Para obter informações adicionais, consulte a documentação sobre o módulo de login do token de segurança genérico para o consumidor de token.
- Se o provedor de serviços receber um token que seja validado e não trocado, o token recebido deverá ser suportado pelos módulos de login padrão do sistema do Web Service Security do servidor de aplicativos.
- Ao usar um token de segurança do RunAs Subject para validar ou trocar por um token de segurança de saída, o token de segurança no RunAs Subject deverá ser identificado exclusivamente por um valor ValueType de token. Se vários tokens no RunAs Subject tiverem o mesmo valor ValueType, o módulo de login não usará WS-Trust Validate para trocar um token com o RunAs Subject. Em vez disso, os módulos de login usam WS-Trust Issue para solicitar um token baseado na configuração do conjunto de políticas para o cliente de confiança.