传播 SAML 令牌
您可以使用各种 SAML 令牌传播方法在出站 Web Service 消息中包括 SAML 令牌。
关于此任务
Web Service 客户机可以在出站 Web Service 消息中包括两种类型的令牌:
- 客户机从入站 Web Service 消息接收的原始 SAML 令牌。
- 新的自签发 SAML 令牌。
已启用 4 种传播方法。此表汇总了这些传播方法和关联的绑定选项:
SAML 令牌传播方法 | 绑定选项 | 实现详细信息 |
---|---|---|
传播原始 SAML 令牌。 | tokenRequest 绑定选项设置为值 propagation。 | 将原始 SAML 令牌从接收该令牌的服务器发送至使用 WS-Security 的其他服务器。 |
传播用户安全性名称、唯一安全性名称、组标识和安全域名。 | tokenRequest 绑定选项设置为值 issueByWSCredential。 | 覆盖缺省系统实现。 自签发 SAML 令牌包含由用户安全上下文中的 WSCredential 对象指定的用户安全性名称、用户唯一安全性名称、组标识和安全域名。 |
传播 SAML 令牌标识和属性。 | 未设置绑定选项。 | 缺省系统实现。 服务器将自生成一个包含原始 SAML 属性、认证方法以及 NameIdentifier 或 SAML NameID 的新 SAML 令牌,并将自生成的新 SAML 令牌发送至使用 WS-Security 的下游服务器。 新 SAML 令牌的签发者名称、签发者签署证书和生存期由 SAML 提供程序配置属性确定。 |
传播 WSPrincipal。 | tokenRequest 绑定选项设置为值 issueByWSPrincipal。![]() |
覆盖缺省系统实现。 自签发 SAML 令牌包含 RunAs 主体集中的 WSPrincipal 信息。该信息以 NameIdentity 或 NameID 形式进行存储而不从原始 SAML 令牌复制任何内容,即使该令牌存在于主体集中也是如此。 |
以编程方式传播已存在的 SAML 令牌。 | 使用 com.ibm.wsspi.wssecurity.core.token.config.WSSConstants.SAMLTOKEN_IN_MESSAGECONTEXT 属性来插入您要传播到 RequestContext 中的 SAML 令牌。 | 覆盖所有其他现有绑定选项。 |