SOAP 消息中的身份断言
身份断言是在 SOAP 消息中表达发送方的标识(例如用户名)的方法。当身份断言用作认证方法时,仅根据标识的名称而不根据其他信息(例如,密码和证书)执行认证决策。
要点: V5.x 和 V6.0.x 及更高版本的应用程序之间存在重要差别。本文中的信息仅支持与 WebSphere® Application Server V6.0.x 及更高版本配合使用的 V5.x 应用程序。这些信息不适用于 V6.0.x 及更高版本应用程序。
身份断言涉及下列方面:
- 标识类型
- WebSphere Application Server 中的 Web Service 安全性实现可以处理以下标识类型:
- 用户名
- 表示用户名,例如,本地操作系统中的用户名(例如 alice)。此名称嵌入在 <UsernameToken> 元素中的 <Username> 元素中。
- DN
- 表示用户的专有名称 (DN),例如 “CN=alice, O=IBM, C=US”。此名称嵌入在 <UsernameToken> 元素中的 <Username> 元素中。
- X.509 证书
- 将用户标识表示为 X.509 证书,而不是字符串名。此证书嵌入在 <BinarySecurityToken> 元素中。
- 管理信任
- SOAP 消息路线中的中间主机可以声明初始发送方的已声明标识。此断言支持两种方法(称为信任方式):
- 基本认证
- 中介将其用户名和密码对添加到消息。
- 签名
- 中介以数字方式签署初始发送方的 <UsernameToken> 元素。注: 此信任方式不支持 X.509 证书标识类型。
- 典型方案
- 身份断言通常在多跳跃环境中使用,SOAP 消息在此环境中会通过一个或多个中间主机。中间主机认证初始发送方。以下方案描述此过程:
- 初始发送方向中间主机发送带一些嵌入式认证信息的 SOAP 消息。此认证信息可能是具有轻量级第三方认证 (LTPA) 令牌的用户名和密码对。
- 中间主机根据嵌入式认证信息认证初始发送方。
- 中间主机从 SOAP 消息中移除认证信息,并用包含用户名的 <UsernameToken> 元素替换此信息。
- 中间主机根据信任方式声明信任。
- 中间主机会将更新后的 SOAP 消息发送到最终接收方。
- 最终接收方根据配置的信任方式,对中间主机信息检查信任。还要调用可信标识鉴别程序。
- 如果最终接收方建立了信任,那么接收方在 SOAP 消息中的用户名(即初始发送方)的授权下调用 Web Service。