令牌使用者的通用安全性令牌登录模块

当收到 Web service 消息时,应用程序服务器将作为 Web Service 安全性认证过程的一部分来为令牌生成器调用通用安全令牌登录模块。

该登录模块会将令牌验证过程委派给使用 WS-Trust ValidateWS-Trust 服务。WS-Trust 安全性令牌服务处理请求并将 RequestSecurityTokenResponse 消息返回到登录模块,这可能仅包含新安全令牌或验证状态码。如果需要调用者令牌,那么 WS-Trust 安全性令牌服务中的返回令牌或原始的已接收令牌是调用者令牌。

如果信任服务调用返回无效状态码或错误,那么令牌验证过程失败,并且登录模块将生成 LoginException 异常。

登录模块及其对 WS-Trust 服务的使用允许以下操作:
  • 入局或出局安全性令牌为不同类型时交换安全性令牌
  • 将一个身份映射到另一个身份时交换安全性令牌
  • 对授权检查进行评估以确保允许已认证的用户调用目标 Web service

Java™ 认证和授权服务 (JAAS) 登录配置名称为 wss.consume.issuedToken,回调处理程序类名为 com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenConsumeCallbackHandler

受支持的令牌类型

接收令牌必须具有指定信任服务可以处理和交换的 ValueType 值。有效的令牌 ValidType 值可能是系统缺省登录模块支持的已知令牌类型。有效的入局令牌可以是用户名令牌、XML 令牌或二进制安全性令牌,包括以下令牌类型:
  • 安全性断言标记语言 (SAML) 2.0
  • SAML 1.1
  • 用户名
  • 通行票
  • Kerberos
  • 轻量级第三方认证 (LTPA)
  • Tivoli® Access Manager 凭证
但是,如果 WS-Trust Validate 未完成令牌交换并且仅返回验证状态码,那么入局令牌类型必须是以下令牌类型中的一种:
  • SAML 2.0
  • SAML 1.1
  • Username
  • Kerberos
  • LTPA v2
  • LTPA
此外,WS-Trust 调用中的返回令牌值类型必须是上述令牌类型之一。
支持的配置 支持的配置:
  • 通过请求参与方而发送的已接收令牌是策略中指定的令牌。
  • 此令牌只能用于认证。不能将此令牌用作保护令牌。
sptcfg

策略集

通用安全性令牌登录模块的实现可以支持系统缺省登录模块或定制登录模块所支持的任何认证令牌。通用安全性令牌登录模块不会在策略集中添加新的安全性令牌类型。例如,如果您计划使用通用安全性令牌登录模块来生成用户名令牌,那么您可以创建一个将用户名令牌指定为认证令牌的策略集。指定的安全性令牌服务支持的任何令牌类型都可以与通用安全性令牌登录模块一起使用。您可以实现定制登录模块以处理现有缺省系统登录模块不支持的任何新令牌类型。

绑定

在为认证令牌配置绑定时,您具有以下选项:
  • 使用通用登录模块。
  • 使用现有系统缺省登录模块。
  • 创建您自己的定制登录模块。

例如,如果您配置用户名令牌,那么可以使用 wss.consume.unt JAAS 登录配置并保持现有行为。但是,您可以配置 wss.consume.issuedToken JAAS 登录以使用通用登录模块。


指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_gensectokenmodtokcons
文件名:cwbs_gensectokenmodtokcons.html