Asserção de Identidade em uma Mensagem SOAP

Asserção de identidade é um método para expressar a identidade do emissor (por exemplo, nome do usuário) em uma mensagem SOAP. Quando a asserção de identidade é utilizada como um método de autenticação, a decisão de autenticação é executada com base apenas no nome da identidade e não em outras informações, como senhas e certificados.

Importante: Há uma distinção importante entre os aplicativos da Versão 5.x e Versão 6.0.x e posteriores. As informações neste artigo suportam apenas aplicativos da Versão 5.x que são usados com o WebSphere Application Server Versão 6.0.x e posterior. As informações não se aplicam aos aplicativos Versão 6.0.x e posterior.
A asserção de identidade envolve:
Tipo de ID
A implementação do Web Services Security no WebSphere Application Server pode manipular esses tipos de identidade:
Nome do Usuário
Indica o nome do usuário, como aquele no sistema operacional local (por exemplo, alice). Esse nome é integrado no elemento <Username> dentro do elemento <UsernameToken>.
DN
Denota o Nome Distinto (DN) para o usuário, tal como "CN=alice, O=IBM, C=US". Esse nome é integrado no elemento <Username> dentro do elemento <UsernameToken>.
Certificado X.509
Representa an identidade do usuário como um certificado X.509 em vez de um nome de cadeia. Esse certificado é integrado no elemento <BinarySecurityToken>.
Gerenciando a confiança
O host intermediário no itinerário da mensagem SOAP pode confirmar a identidade alegada pelo emissor inicial. Dois métodos (chamados modo de confiança) são suportados para essa asserção:
Autenticação Básica
O intermediário adiciona seu par de nome de usuário e senha à mensagem.
Signature
O intermediário assina digitalmente o elemento <UsernameToken> do emissor inicial.
Nota: Este modo de confiança não suporta o tipo de ID de certificado X.509.
Cenário típico
A asserção de ID é utilizada, geralmente, no ambiente de vários saltos, no qual a mensagem SOAP passa por um ou mais hosts intermediários. O host intermediário autentica o emissor inicial. O cenário a seguir descreve o processo:
  1. O emissor inicial envia uma mensagem SOAP ao host intermediário com algumas informações de autenticação integradas. Essas informações de autenticação podem ser um par de nome de usuário e senha com um token LTPA (Lightweight Third Party Authentication).
  2. O host intermediário autentica o emissor inicial de acordo com as informações de autenticação integradas.
  3. O host intermediário remove as informações de autenticação da mensagem SOAP e as substitui pelo elemento <UsernameToken> que contém um nome de usuário.
  4. O host intermediário confirma a confiança de acordo com o modo de confiança.
  5. O host intermediário envia a mensagem SOAP atualizada para o receptor final.
  6. O receptor final verifica a confiança em relação às informações do host intermediário de acordo com o modo de confiança configurado. Além disso, o avaliador de ID confiável é chamado.
  7. Se a confiança for estabelecida pelo receptor final, o receptor chamará o serviço da Web sob a autorização do nome do usuário (ou seja, o emissor inicial) na mensagem SOAP.

Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_idassert
Nome do arquivo: cwbs_idassert.html