15.3. Modules de connexion de PicketLink STS
Le module de connexion de PicketLink est normalement configuré dans le cadre de l'installation du conteneur JEE pour utiliser un Service de jetons de sécurité (STS) pour l'authentification des utilisateurs. Le STS peut être colocalisé sur le même conteneur que le Module de connexion ou accessible à distance via les appels de Service Web ou une autre technologie. Les modules de connexion de PicketLink prennent en charge les implémentations STS non - PicketLink via des appels standards de WS-Trust.
Types de modules de connexion STS
Voici les différents types de modules de connexion STS.
STSIssuingLoginModule
- Appelle le STS configuré et demande un jeton de sécurité. Dès la réception du jeton
RequestedSecurityToken
, l'authentification est considérée comme un succès. - Un appel à STS exige normalement une authentification. Ce module de connexion utilise les informations d'authentificaition d'une des sources suivantes :
- Son fichier de propriétés, si l'option de module
useOptionsCredentials
est définie àtrue
. - Anciennes informations d'authentification de module de connexion si l'option de module
password-stacking
est définie àuseFirstPass
. - Du
CallbackHandler
configuré en donnant un nom et un mot de passe de Callback.
- Après une authentification réussie, le
SamlCredential
est inséré dans les informations d'authentification du sujet si une même Assertion n'est pas déjà présente.
STSValidatingLoginModule
- Appelle le STS configuré et valide un token de sécurité disponible.
- Un appel à STS exige normalement une authentification. Ce module de connexion utilise les informations d'authentificaition d'une des sources suivantes :
- Son fichier de propriétés, si l'option de module
useOptionsCredentials
est définie àtrue
. - Anciennes informations d'authentification de module de connexion si l'option de module
password-stacking
est définie àuseFirstPass
. - Du
CallbackHandler
configuré en donnant un nom et un mot de passe de Callback.
- Après une authentification réussie, SamlCredential est inséré dans les informations d'authentification du sujet si une même Assertion n'est pas déjà présente.
SAML2STSLoginModule
- Ce module de connexion fournit un
ObjectCallback
auCallbackHandler
configuré et attend un objetSamlCredential
retour. L'assertion est validée en rapport au STS configuré. - Si un ID utilisateur ou un jeton SAML sont partagés, ce module de connexion contournera la validation. S'il sont empilés l'un sur l'autre, connectez-vous au module qui est authentifié.
- Après une authentification réussie, le
SamlCredential
est inspecté pour trouver unNameID
et un attribut de rôle à valeur multiples qui est défini respectivement comme ID et rôles de l'utilisateur.
SAML2LoginModule
- Ce module de connexion est utilisé en conjonction avec d'autres composants pour l'authentification SAML et ne réalise aucune authentification.
SPRedirectFormAuthenticator
utilise ce module de connexion pour l'implémentation PicketLink du profil de redirection SAML v2 HTTP.- La valve d'authentificateur Tomcat effectue un authentification en redirigeant vers le fournisseur d'identité et en obtenant une assertion SAML.
- Ce module de connexion est utilisé pour faire passer l'ID utilisateur et les rôles au JBoss Security Framework dans le sujet JAAS.