5.3. Módulos de Login do PicketLink STS
O Módulo de Login do PicketLink é tipicamente configurado como parte da configuração de segurança de um contêiner JEE para uso de um Serviço de Token de Segurança. O STS pode ser colocado no mesmo contêiner ao do Módulo de Login ou pode ser acessado remotamente através das chamadas do Serviço da Web ou outra tecnologia. Os Módulos de Login do PicketLink suportam as implantações não PicketLink STS através das chamadas WS-Trust.
Tipos de Módulos de Login STS
Segue abaixo os tipos diferentes dos Módulos de Login STS
STSIssuingLoginModule
- Isto chama o STS configurado e solicita por um token de segurança. No caso de recebimento com êxito o
RequestedSecurityToken
, a autenticação é marcada com êxito. - Uma chamada ao STS normalmente requer autenticação. Este Módulo de Login usa credenciais a partir de uma das seguintes fontes:
- O seu arquivo das propriedades, caso a opção do módulo
useOptionsCredentials
for configurado paratrue
. - Credenciais do módulo de login antigos caso a opção do módulo
password-stacking
for configurada parauseFirstPass
. - A partir do
CallbackHandler
configurado fornecendo uma Chamada de Retorno de Nome e Senha.
- O
SamlCredential
é inserido nos credenciais públicos do Assunto caso um com a mesma Asserção já não seja presente.
STSValidatingLoginModule
- Isto chama o STS configurado e valida um token de segurança disponível.
- Uma chamada ao STS normalmente requer autenticação. Este Módulo de Login usa credenciais a partir de uma das seguintes fontes:
- O seu arquivo das propriedades, caso a opção do módulo
useOptionsCredentials
for configurado paratrue
. - Credenciais do módulo de login antigos caso a opção do módulo
password-stacking
for configurada parauseFirstPass
. - A partir do
CallbackHandler
configurado fornecendo uma Chamada de Retorno de Nome e Senha.
- O SamlCredential é inserido nos credenciais públicos do Assunto caso um com a mesma Asserção já não seja presente.
SAML2STSLoginModule
- Este Módulo de Login fornece
ObjectCallback
aoCallbackHandler
configurado e espera um objetoSamlCredential
em retorno. A Asserção é validada em relação ao STS configurado. - Caso uma ID de usuário e o token SAML forem compartilhados, esta validação transpassa o Módulo de Login quando estiver no topo de outro Módulo de Login que é autenticado com êxito.
- O
SamlCredential
é inspecionado por um nome deNameID
e um atributo de função multi valorizado que é configurado respectivamente como ID e funções do usuário, sob sucesso de autenticação.
SAML2LoginModule
- Este login é usado em conjunção com outros componentes para a autenticação SAML e não executa a própria autenticação.
- O
SPRedirectFormAuthenticator
usa este módulo de login na implementação do PicketLink do SAML v2 o Perfil de Redirecionamento do HTTP. - A válvula do autenticador Tomcat executa a autenticação através da redireção do provedor de identidade e obtendo a asserção SAML.
- Este módulo de login é usado pela ID do usuário e as funções ao framework de segurança do JBoss a serem populadas no assunto JAAS.