Conexão Única para Solicitações de HTTP Usado a Autenticação da Web SPNEGO

É possível negociar e autenticar com segurança solicitações de HTTP para recursos protegidos no WebSphere Application Server usando o mecanismo Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) como um serviço de autenticação da Web para o WebSphere Application Server.

Nota: No WebSphere Application Server Versão 6.1, foi introduzido um Trust Association Interceptor (TAI) que usa o Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) para negociar e autenticar com segurança solicitações de HTTP para recursos seguros. Essa função foi descontinuada no WebSphere Application Server Versão 7.0. A autenticação da Web SPNEGO tomou esse lugar para fornecer os seguintes aprimoramentos:
  • É possível configurar e ativar a autenticação da Web e os filtros SPNEGO no WebSphere Application Server usando o console administrativo.
  • O recarregamento dinâmico de SPNEGO é fornecido sem a necessidade de parar e reiniciar o WebSphere Application Server.
  • O fallback para um método de login de aplicativo será fornecido se a autenticação da Web SPNEGO falhar.
  • O SPNEGO pode ser customizado no nível de domínio de segurança do WebSphere. Leia sobre Domínios de Segurança Múltiplos para obter informações adicionais.

Você pode ativar o SPNEGO TAI ou a Autenticação da Web de SPNEGO, mas não ambos.

As seções a seguir descrevem a autenticação da Web SPNEGO em mais detalhes:

O que é SPNEGO?

SPNEGO é uma especificação padrão definida em The Simple and Protected GSS-API Negotiation Mechanism (IETF RFC 2478).

Quando as seguranças global e do aplicativo do WebSphere Application Server forem ativadas e a autenticação da Web SPNEGO for ativada, o SPNEGO será inicializado quando processar uma primeira solicitação de HTTP de entrada. O componente autenticador da Web então interage com o SPNEGO, que é definido e ativado no repositório de configuração de segurança. Quando o critério de filtragem é atendido, o SPNEGO é responsável por autenticar o acesso ao recurso protegido que é identificado no pedido HTTP.

Além dos serviços de tempo de execução de segurança no WebSphere Application Server, alguns componentes externos são necessários para ativar a operação do SPNEGO. Esses componentes externos incluem:
  • [Windows]Domínio do Microsoft Windows Servers com Active Directory e o Kerberos Key Distribution Center (KDC) associado. Para obter informações sobre o Microsoft Windows Servers, consulte os Requisitos do Sistema para o WebSphere Application Server Versão 9.0 no Windows.
  • Um aplicativo cliente, por exemplo, o Microsoft .NET ou o serviço da web e o cliente J2EE que suportam o mecanismo de autenticação da web SPNEGO, conforme definido no IETF RFC 2478. O Microsoft Internet Explorer Versão 5.5 ou posterior e o Mozilla Firefox Versão 1.0 são exemplos de navegadores. Qualquer navegador deve ser configurado para usar o mecanismo de autenticação da Web SPNEGO. Para obter informações adicionais sobre como executar essa configuração, consulte Configurando o Navegador do Cliente para Utilizar SPNEGO.

A autenticação de pedidos de HTTP é acionada pelo solicitante (o lado do cliente), que gera um token SPNEGO. O WebSphere Application Server recebe esse token. Especificamente, a autenticação da Web SPNEGO decodifica e recupera a identidade do solicitante a partir do token do SPNEGO. A identidade é utilizada para estabelecer um contexto seguro entre o solicitante e o servidor de aplicativos.

A autenticação da Web SPNEGO é uma solução do lado do servidor WebSphere Application Server. Os aplicativos do lado do cliente são responsáveis por gerar o token SPNEGO para uso pela autenticação da Web SPNEGO. A identidade do solicitante no registro de segurança do WebSphere Application Server deve ser idêntica à identidade que a autenticação da Web SPNEGO recupera. Uma correspondência idêntica ocorre quando o servidor Active Directory do Microsoft Windows é o servidor Lightweight Directory Access Protocol (LDAP) usado no WebSphere Application Server. Um módulo de login customizado está disponível como um plug-in para suportar mapeamento customizado da identidade a partir do Active Directory para o registro de segurança do WebSphere Application Server.

[AIX Solaris HP-UX Linux Windows][IBM i]Leia o [AIX Solaris HP-UX Linux Windows][IBM i]Mapeamento de um Nome de Proprietário do Kerberos do Cliente para o ID do Registro do Usuário do WebSphere para obter mais informações sobre como usar esse módulo de login customizado.

O WebSphere Application Server valida a identidade com relação ao seu registro de segurança. Se a validação for bem-sucedida, o registro Kerberos do cliente e a credencial de delegação GSS serão recuperados e colocados no elemento do cliente, que então produz um token de segurança LTPA (Lightweight Third Party Authentication). Em seguida, ele coloca e retorna um cookie para o solicitante na resposta HTTP. Solicitações de HTTP subsequentes a partir desse mesmo solicitante para acessar recursos protegidos adicionais no WebSphere Application Server usam o token de segurança LTPA anteriormente criado para evitar desafios de login repetitivos.

O administrador da Web tem acesso aos seguintes componentes de segurança SPNEGO e aos dados de configuração associados, como mostra a figura a seguir:

Figura 1. Elementos de Autenticação da Web e de Configuração de Segurança SPNEGOO administrador da web possui acesso aos seguintes componentes de segurança SPNEGO e dados de configuração associados: módulo de Autenticação da Web, Trust Association Interceptor SPNEGO, provedores de segurança JGSS e SPNEGO, configuração do Kerberos e arquivos keytab do Kerberos, propriedades de configuração SPNEGO TAI e propriedades do sistema JVM.

Os Benefícios da Autenticação da Web SPNEGO

Os benefícios de usar o WebSphere Application Server use SPNEGO como o serviço de autenticação da Web para o WebSphere Application Server incluem o seguinte:

  • [Windows]É estabelecido um ambiente de conexão única integrado com o Microsoft Windows Servers usando o domínio Active Directory.
  • O custo de administração de um grande número de ids e senhas é reduzido.
  • É estabelecida uma transmissão segura e mutuamente autenticada de credenciais de segurança do navegador da web ou de clientes Microsoft .NET.
  • A interoperabilidade com os serviços da web e aplicativos de serviço da web Microsoft .NET, que usam a autenticação do SPNEGO no nível de transporte é alcançada.
  • Com o suporte de autenticação Kerberos, a autenticação da Web SPNEGO pode fornecer uma solução SPNEGO para Kerberos de ponta a ponta e preservar a credencial Kerberos a partir do cliente.

Autenticação da Web SPNEGO em uma Região do Kerberos Única

A autenticação da Web SPNEGO é suportada em uma região do Kerberos única. O processo do protocolo de reconhecimento de desafio/resposta é mostrado na figura a seguir:

Figura 2. Autenticação da Web SPNEGO em uma Região do Kerberos ÚnicaA autenticação da web do SPNEGO é suportada em uma única região do Kerberos. O processo de handshake resposta de segurança é mostrado.

Na figura anterior, os eventos a seguir ocorrem:

  1. O cliente envia uma solicitação HTTP/Post/Get/Web-Service para o WebSphere Application Server.
  2. O WebSphere Application Server retorna HTTP 401 Autenticar/Negociar.
  3. O cliente obtém um TGT (Ticket Granting Ticket).
  4. O cliente solicita um Registro de Serviço (TGS_REQ).
  5. O cliente obtém um Registro de Serviço (TGS_REP).
  6. O cliente envia HTTP/Post/Get/Web-Service e um token SPNEGO de autorização para WebSphere Application Server.
  7. O WebSphere Application Server valida o token SPNEGO. Se a validação for bem-sucedida, ele recupera o ID do usuário e a credencial de delegação GSS do token SPNEGO. Crie um KRBAuthnToken com uma credencial Kerberos de cliente.
  8. O WebSphere Application Server valida o ID do usuário com o registro do usuário do WebSphere e cria um token LTPA.
  9. O WebSphere Application Server retorna HTTP 200, conteúdo e o token LTPA para o cliente.
Nota: Outros clientes, (por exemplo, serviços da web, .NET e J2EE) que suportam SPNEGO não têm que seguir o processo handshake de resposta de segurança como mostrado anteriormente. Esses clientes podem obter um TGT (ticket-granting ticket) e um registro de serviço Kerberos para o servidor de destino, criar um token SPNEGO, inseri-lo no cabeçalho HTTP e depois seguir o processo normal de criação de um pedido HTTP.

Autenticação da Web SPNEGO em uma Região do Kerberos Confiável

A autenticação da Web SPNEGO é também é suportada em uma região do Kerberos confiável. O processo do protocolo de reconhecimento de desafio/resposta é mostrado na figura a seguir:

Figura 3. Autenticação da Web SPNEGO em uma Região do Kerberos ConfiávelA autenticação da web do SPNEGO é suportada em uma região do Kerberos confiável. O processo de handshake resposta de segurança é mostrado.

Na figura anterior, os eventos a seguir ocorrem:

  1. O cliente envia uma solicitação HTTP/Post/Get/Web-Service para o WebSphere Application Server.
  2. O WebSphere Application Server retorna HTTP 401 Autenticar/Negociar.
  3. O cliente obtém um TGT (Ticket Granting Ticket).
  4. O cliente solicita um registro entre regiões (TGS_REQ) para REGIÃO2 no KDC da REGIÃO1.
  5. O cliente utiliza o registro entre regiões da etapa 4 para solicitar um Registro de Serviço do KDC da REGIÃO2.
  6. O cliente envia HTTP/Post/Get/Web-Service e um token SPNEGO de autorização para WebSphere Application Server.
  7. O WebSphere Application Server valida o token SPNEGO. Se a validação for bem-sucedida, ele recupera o ID do usuário e a credencial de delegação GSS do token SPNEGO. Crie um KRBAuthnToken com uma credencial Kerberos de cliente.
  8. O WebSphere Application Server valida o ID do usuário com o registro do usuário do WebSphere e cria um token LTPA.
  9. O WebSphere Application Server retorna HTTP 200, conteúdo e o token LTPA para o cliente.

No ambiente de regiões confiáveis do Kerberos, lembre-se do seguinte:

  • A configuração de região confiável do Kerberos deve ser executada em cada KDC do Kerberos. Consulte o Guia do Usuário e do Administrador Kerberos para obter informações adicionais sobre como configurar regiões confiáveis do Kerberos.
  • O nome do principal do cliente Kerberos a partir do token SPNEGO pode não existir no registro do usuário do WebSphere; esse nome poderá ser solicitado pelo mapeamento do principal do Kerberos para o registro do usuário do WebSphere.

    [AIX Solaris HP-UX Linux Windows][IBM i]Leia sobre [AIX Solaris HP-UX Linux Windows][IBM i]Mapeamento de um Nome de Proprietário do Kerberos do Cliente para o ID do Registro do Usuário do WebSphere para obter informações adicionais.

Informações de Suporte para a Autenticação da Web do SPNEGO com um Cliente Java™ Usando o Protocolo HTTP

Os seguintes cenários são suportados:
  • Confiança de domínio na mesma floresta
  • Confiança de domínio externo diretamente entre domínios em diferentes florestas.
  • Região confiável de região do Kerberos
Os cenários a seguir não são suportados:
  • Região confiável entre florestas
  • Confiança externa da floresta

Informações de Suporte para Autenticação da Web do SPNEGO com um Cliente do Navegador

Os seguintes cenários são suportados:
  • Regiões confiáveis entre florestas
  • Confiança de domínio na mesma floresta
  • Região confiável de região do Kerberos
Os cenários a seguir não são suportados:
  • Regiões confiáveis externas de floresta
  • Regiões confiáveis externas de domínio

Configurando o SPNEGO como Mecanismo de Autenticação da Web para o WebSphere Application Server

Antes de configurar a autenticação da web do SPNEGO no console administrativo ou usando os comandos wsadmin, você deverá executar as etapas, conforme listado no Criando uma Conexão Única para Pedidos de HTTP Utilizando a Autenticação da Web SPNEGO, para configurar uma autenticação da web SPNEGO para o WebSphere Application Server.
Nota: A autenticação da Web SPNEGO no lado do servidor deve ser feita pelo administrador do sistema. O arquivo keytab do Kerberos deve estar protegido.

Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_SPNEGO_explain
Nome do arquivo: csec_SPNEGO_explain.html