Módulos de Login do Token de Segurança Genéricos

Os módulos de login de token de segurança genéricos são módulos de login Java™ Authentication and Authorization Service (JAAS). Estes módulos de login emitem, validam e trocam tokens de segurança usando um Security Token Service (STS) externo.

Visão geral

Os processos de geração e consumo de tokens do Web Services Security chamam estes módulos de login. O componente Web Services Security fornece módulos de login padrão para tokens comuns, como nos seguintes exemplos:
  • Tokens Username
  • Tokens X.509
  • Tokens do Kerberos
  • Tokens Lightweight Third Party Authentication (LTPA)
  • Tokens Security Assertion Markup Language (SAML)
  • Tokens de contexto de segurança
Para obter informações adicionais sobre implementações de tokens, consulte as implementações padrão da documentação das interfaces de programação do provedor de serviços do Web Services Security.
Evitar Problemas Evitar Problemas: Se estiver usando o IBM® Tivoli Federated Identity Manager como um Serviço do Token de Segurança externo, deverá usar as Versões 6.2.0.9, 6.2.1.2, 6.2.2 ou posterior para evitar falhas de troca do token LTPA.gotcha

A ilustração a seguir mostra o fluxo de informações por meio do processo do módulo de login do token de segurança genérico.Processo do módulo de login do token de segurança genérico

  1. A identidade do responsável pela chamada é herdada pelo ambiente de tempo de execução do cliente de serviços da Web.
  2. O módulo de login do token de segurança genérico para o gerador de token envia um pedido de token para um serviço WS-Trust usando um cliente WS-Trust usando um pedido de emissão ou de validação.
  3. O token retornado ou validado é configurado no cabeçalho de segurança da mensagem SOAP como um token de autenticação. Para obter informações adicionais, consulte a documentação sobre os módulos de login do token de segurança genéricos para o gerador de token.
  4. O PassTicket é enviado como parte da mensagem SOAP para o provedor de serviços.
  5. O módulo de login do token de segurança genérico para o consumidor de token envia o token recebido no cabeçalho de segurança da mensagem SOAP em um pedido WS-Trust Validate para um serviço WS-Trust designado.
  6. O pedido pode resultar em um novo token ou em uma notificação de que o token enviado foi validado com êxito.
  7. Conforme necessário, o token novo ou validado originalmente é usado como o token do responsável pela chamada para propósitos de autorização. Para obter informações adicionais, consulte a documentação sobre os módulos de login do token de segurança genéricos para o consumidor de token.

Um PassTicket é uma senha substituta, gerada dinamicamente, de uso único. É possível usar o PassTicket para autenticação em um serviço em vez de enviar a senha real.

Cenários de Uso

O módulo de login do token de segurança genérico pode ser muito útil se a troca de tokens, o mapeamento de identidade ou a autorização para chamar um serviço da Web de destino for necessário. A lista a seguir explica alguns cenários de uso úteis para um módulo de login do token de segurança genérico:
Troca de tokens com um servidor intermediário
O token de segurança de saída necessário e o token de segurança recebido são de tipos diferentes.
Troca de tokens no lado solicitante
É necessário um mapeamento de identidade para o solicitante antes de chamar um serviço de recebimento de dados.
Troca de tokens no lado de recebimento
É necessário o mapeamento de identidade de chamada após a validação do token.
Autorização para chamar o serviço de destino
O módulo de login envia o token de segurança recebido e seu endereço de terminal em serviço de destino para o serviço WS-Trust. O serviço WS-Trust conclui a autorização no nível de serviço da Web. O serviço WS-Trust verifica se a chamada de serviço da Web de destino está autorizada para a entidade que está contida dentro do token de autenticação.

Limitações

As seguintes limitações existem para os módulos de login genéricos:
  • É possível usar o token, que é processado pelo módulo de login do token de segurança genérico, apenas para autenticação. O token não pode ser usado como um token de proteção para assinar digitalmente e criptografar partes da mensagem.
  • Se o provedor de serviços receber um token trocado, o token deverá ser suportado pelos módulos de login padrão do sistema do Web Service Security do servidor de aplicativos. Para obter informações adicionais, consulte a documentação sobre o módulo de login do token de segurança genérico para o consumidor de token.
  • Se o provedor de serviços receber um token que seja validado e não trocado, o token recebido deverá ser suportado pelos módulos de login padrão do sistema do Web Service Security do servidor de aplicativos.
  • Ao usar um token de segurança do RunAs Subject para validar ou trocar por um token de segurança de saída, o token de segurança no RunAs Subject deverá ser identificado exclusivamente por um valor ValueType de token. Se vários tokens no RunAs Subject tiverem o mesmo valor ValueType, o módulo de login não usará WS-Trust Validate para trocar um token com o RunAs Subject. Em vez disso, os módulos de login usam WS-Trust Issue para solicitar um token baseado na configuração do conjunto de políticas para o cliente de confiança.

Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_gensectokenmod
Nome do arquivo: cwbs_gensectokenmod.html