SOAP 消息中的身份断言

身份断言是在 SOAP 消息中表达发送方的标识(例如用户名)的方法。当身份断言用作认证方法时,仅根据标识的名称而不根据其他信息(例如,密码和证书)执行认证决策。

要点: V5.x 和 V6.0.x 及更高版本的应用程序之间存在重要差别。本文中的信息仅支持与 WebSphere® Application Server V6.0.x 及更高版本配合使用的 V5.x 应用程序。这些信息不适用于 V6.0.x 及更高版本应用程序。
身份断言涉及下列方面:
标识类型
WebSphere Application Server 中的 Web Service 安全性实现可以处理以下标识类型:
用户名
表示用户名,例如,本地操作系统中的用户名(例如 alice)。此名称嵌入在 <UsernameToken> 元素中的 <Username> 元素中。
DN
表示用户的专有名称 (DN),例如 “CN=alice, O=IBM, C=US”。此名称嵌入在 <UsernameToken> 元素中的 <Username> 元素中。
X.509 证书
将用户标识表示为 X.509 证书,而不是字符串名。此证书嵌入在 <BinarySecurityToken> 元素中。
管理信任
SOAP 消息路线中的中间主机可以声明初始发送方的已声明标识。此断言支持两种方法(称为信任方式):
基本认证
中介将其用户名和密码对添加到消息。
签名
中介以数字方式签署初始发送方的 <UsernameToken> 元素。
注: 此信任方式不支持 X.509 证书标识类型。
典型方案
身份断言通常在多跳跃环境中使用,SOAP 消息在此环境中会通过一个或多个中间主机。中间主机认证初始发送方。以下方案描述此过程:
  1. 初始发送方向中间主机发送带一些嵌入式认证信息的 SOAP 消息。此认证信息可能是具有轻量级第三方认证 (LTPA) 令牌的用户名和密码对。
  2. 中间主机根据嵌入式认证信息认证初始发送方。
  3. 中间主机从 SOAP 消息中移除认证信息,并用包含用户名的 <UsernameToken> 元素替换此信息。
  4. 中间主机根据信任方式声明信任。
  5. 中间主机会将更新后的 SOAP 消息发送到最终接收方。
  6. 最终接收方根据配置的信任方式,对中间主机信息检查信任。还要调用可信标识鉴别程序。
  7. 如果最终接收方建立了信任,那么接收方在 SOAP 消息中的用户名(即初始发送方)的授权下调用 Web Service。

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_idassert
文件名:cwbs_idassert.html