通用安全性令牌登录模块

通用安全性令牌登录模块是 Java™ 认证和授权服务 (JAAS) 登录模块。这些登录模块使用外部安全性令牌服务 (STS) 来发布、验证和交换安全性令牌。

概述

Web Service 安全性令牌生成和使用进程将调用这些登录模块。Web Service 安全性组件为公共令牌提供缺省登录模块,例如以下示例:
  • 用户名令牌
  • X.509 令牌
  • Kerberos 令牌
  • 轻量级第三方认证 (LTPA) 令牌
  • 安全性断言标记语言 (SAML) 令牌
  • 安全上下文令牌
有关令牌实施的更多信息,请参阅“Web Service 安全性服务提供程序编程接口的缺省实施”文档。
避免故障 避免故障: 如果您将 IBM® Tivoli® Federated Identity Manager 用作外部安全性令牌服务,那么您应该使用 V6.2.0.9、6.2.1.2、6.2.2 或更高版本来防止 LTPA 令牌交换失败。gotcha

下图显示通过通用安全性令牌登录模块流程的信息流。通用安全性令牌登录模块流程

  1. 调用者的身份由 Web service 客户机的运行时环境继承。
  2. 令牌生成器的通用安全性令牌登录模块使用 WS-Trust 客户机来利用发布或验证请求向 WS-Trust 服务发送令牌请求。
  3. 在 SOAP 消息的安全性头中将返回或验证的令牌设置为认证令牌。有关更多信息,请参阅关于令牌生成器的通用安全性令牌登录模块的文档。
  4. PassTicket 作为 SOAP 消息的一部分发送到服务提供程序。
  5. 令牌使用者的通用安全性令牌登录模块将 WS-Trust Validate 请求内 SOAP 消息的安全头中收到的令牌发送到指定的 WS-Trust 服务。
  6. 该请求可能生成新令牌或通知:已成功验证所发送的令牌。
  7. 按要求,为了授权,将新的或原始验证的令牌用作调用者令牌。有关更多信息,请参阅关于令牌使用者的通用安全性令牌登录模块的文档。

PassTicket 是动态生成的一次性替代密码。您可以使用 PassTicket 来向服务进行认证,而不是发送实际密码。

使用方案

如果需要令牌交换、身份映射或调用目标 Web service 的授权,那么通用安全性令牌登录模块可能很有用。以下列表说明通用安全性令牌登录模块的某些有用的使用方案:
使用中间服务器进行令牌交换
所需的出局安全性令牌和入局的安全性令牌是不同的类型。
请求端的令牌交换
需要为请求者进行身份映射,然后调用下游服务。
接收端的令牌交换
在验证令牌之后,需要调用的身份映射。
用于调用目标服务的授权
登录模块将入局的安全性令牌及其目标服务端点地址发送到 WS-Trust 服务。WS-Trust 服务完成 web service 级别授权。WS-Trust 服务验证是否为认证令牌内包含的主体授权了目标 web service 调用。

局限性

通用登录模块存在以下限制:
  • 您可以将通用安全性令牌登录模块处理的令牌仅用于认证。您不能将该令牌用作保护令牌来以数字方式签署和加密消息部分。
  • 如果服务提供程序收到交换的令牌,该令牌必须得到应用程序服务器 Web Service Security 系统的缺省登录模块的支持。有关更多信息,请参阅关于令牌使用者的通用安全性令牌登录模块的文档。
  • 如果服务提供程序接收已验证和未交换的令牌,该接收的令牌必须得到应用程序服务器 Web Service Security 系统的缺省登录模块的支持。
  • 您使用来自 RunAs 主体集的安全性令牌来验证或交换出站安全性令牌时,RunAs 主体集内的安全性令牌必须唯一地由令牌 ValueType 值标识。如果在 RunAs 主体集中的多个令牌具有相同 ValueType 值,那么登录模块没有使用 WS-Trust Validate 来与 RunAs 主体集交换令牌。相反,登录模块使用 WS-Trust Issue 来请求基于信任客户机的策略集配置的令牌。

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_gensectokenmod
文件名:cwbs_gensectokenmod.html