Prozessablauf beim Generieren von Sicherheitstokens
Wenn Sicherheit mithilfe von Liberty Alliance Project-Tokens aktiviert ist, sendet der HTTP-Client oder der Browser über den Webdienst-Client eine Zugriffsanforderung an den Webdienstanbieter. Ein Webdienste-Sicherheitsagent leitet die Anforderung an den OpenSSO STS-Authentifizierungsdienst weiter. Wenn der Liberty Alliance Project-Sicherheitsmechanismus aktiv ist, gibt ein HTTP-Sicherheitsagent die Weiterleitung aus. Wenn WS-IBS-Sicherheit verwendet wird, gibt ein SOAP-Sicherheitsagent die Weiterleitung aus.
Der OpenSSO STS-Authentifizierungsdienst ermittelt den Sicherheitsmechanismus, der beim Webdienstanbieter registriert ist, und ruft die entsprechenden Sicherheitstoken ab. Nach der erfolgreichen Authentifizierung stellt der Webdienst-Client einen SOAP-Nachrichtentext bereit, während der SOAP-Sicherheitsagent auf Seite des Webdienst-Clients die Sicherheitskopfzeilen und ein Token einfügt. Die Nachricht wird anschließend entfernt, bevor die Anforderung an den WSP gesendet wird.
Der SOAP-Sicherheitsagent auf Seite des Webdienstanbieters überprüft die Signatur und den Sicherheitstoken in der SOAP-Anforderung, bevor er die Anforderung an den Webdienstanbieter selbst weiterleitet. Der Webdienstanbieter verarbeitet sie anschließend und gibt eine vom SOAP-Sicherheitsagenten signierte Antwort an den Webdienst-Client zurück. Der SOAP-Sicherheitsagent auf Seite des Webdienst-Clients überprüft anschließend die Signatur, bevor er die Antwort an den Webdienst-Client weiterleitet.
In der folgenden Tabelle werden eine Liste und kurze Beschreibungen von Tokens dargestellt, die für Liberty Alliance Project-Transaktionen unterstützt werden.
Tabelle 3–1 Requestor Tokens - Liberty Alliance Project
Token
|
Erfüllt diese Anforderungen
|
X.509
|
-
Der gesicherte Webdienst verwendet eine Public Key Infrastructure (Infrastruktur mit öffentlichen Schlüsseln), in der der Webdienst-Client einen öffentlichen Schlüssel als Mittel zum Ermitteln des Anforderers zur Verfügung stellt, und mit der der Webdienstanbieter authentifiziert wird.
-
Der gesicherte Webdienst verwendet eine Public Key Infrastructure (Infrastruktur mit öffentlichen Schlüsseln), in der der Webdienst-Client einen öffentlichen Schlüssel als Mittel zum Ermitteln des Anforderers zur Verfügung stellt, und mit der der Webdienstanbieter authentifiziert wird.
|
BearerToken
|
-
Der gesicherte Webdienst verwendet die SAML-Bearer-Token-Bestätigungsmethode von Security Assertion Markup Language (SAML).
-
Der Webdienst-Client stellt eine SAML-Behauptung mit Informationen zum öffentlichen Schlüssel zur Verfügung, um den Anforderer gegenüber dem Webdienstanbieter zu authentifizieren.
-
Eine zweite Signatur bindet die Behauptung an die SOAP-Nachricht.
-
Die zweite Signaturbindung verwendet Regeln, die vom Liberty Alliance Project verwendet wurden.
|
SAML-Token
|
-
Der gesicherte Webdienst verwendet die SAML-Schlüsselinhaber-Bestätigungsmethode.
-
Der Webdienst-Client fügt eine SAML-Behauptung und eine digitale Signatur in eine SOAP-Kopfzeile ein.
-
Ein Absenderzertifikat oder öffentlicher Schlüssel wird ebenfalls mit der Signatur zur Verfügung gestellt.
-
Der Versand wird mithilfe von Regeln verarbeitet, die vom Liberty Alliance Project definiert wurden.
|
In den folgenden Tabellen werden eine Liste und kurze Beschreibungen von Tokens dargestellt, die für WS-IBS-Transaktionen unterstützt werden.
Tabelle 3–2 Anforderer-Tokens - WS-IBS
Token
|
Erfüllt diese Anforderungen
|
Benutzername
|
-
Der gesicherte Webdienst erfordert einen Benutzernamen, ein Passwort und optional eine Signierung für die Anforderung.
-
Der Webdienst-Verbraucher stellt ein Benutzernametoken als Mittel zum Identifizieren des Anforderers zur Verfügung.
-
Der Webdienstverbraucher stellt ein Passwort, gemeinsames Geheimnis oder ein Passwortäquivalent zum Authentifizieren der Identität gegenüber dem Webdienstanbieter zur Verfügung.
|
X.509
|
Der gesicherte Webdienst verwendet eine PKI (Public Key Infrastructure, in der der Webdienst-Verbraucher einen öffentlichen Schlüssel als Mittel zum Ermitteln des Anforderers und Abschließen des Authentifizierung gegenüber dem Webdienstanbieter.
|
SAML-Schlüsselinhaber
|
-
Der gesicherte Webdienst verwendet die SAML-Schlüsselinhaber-Bestätigungsmethode.
-
Der Webdienst-Client stellt eine SAML-Behauptung mit Informationen zum öffentlichen Schlüssel zur Verfügung, um den Anforderer gegenüber dem Webdienstanbieter zu authentifizieren.
-
Eine zweite Signatur bindet die Behauptung an die SOAP-Payload.
|
SAML-SenderVouches
|
-
Der gesicherte Webdienst verwendet die SAML-Sender-Vouches-Bestätigungsmethode.
-
Der Webclient-Verbraucher fügt eine SAML-Behauptung und eine digitale Signatur in eine SOAP-Kopfzeile ein. Ein Absenderzertifikat oder öffentlicher Schlüssel wird ebenfalls mit der Signatur zur Verfügung gestellt.
|