Authentifizierung und Validierung

Authentifizierung umfasst die Schaffung der Identität eines Benutzers oder Systems und die Verifizierung, dass die Identität gültig ist. Die Authentifizierung bei einem SAML-Sicherheitstoken (SAML = Security Assertion Markup Language) umfasst die Validierung der zugehörigen Zusicherungen und die Prüfung, ob es innerhalb seines Gültigkeitszeitraums verarbeitet wird.

In der Nachrichtenflusssicherheit von IBM® Integration Bus beinhaltet die Authentifizierung, dass der Sicherheitsmanager den Identitätstyp und das Token an einen externen Sicherheitsprovider übergibt. Weitere Informationen zu Sicherheitstoken finden Sie unter Identität.

Diagramm, das den Ablauf der Identitätsauthentifizierung zeigt
Die folgenden externen Sicherheitsprovider (auch als Richtlinienentscheidungspunkte bekannt) werden für die Authentifizierung unterstützt:
  • Lightweight Directory Access Protocol (LDAP)
  • Tivoli® Federated Identity Manager (TFIM) V6.1
  • WS-Trust V1.3 Sicherheitstokenservice (STS), einschließlich TFIM V6.2
  • Windows-Domänencontroller und Kerberos Key Distribution Center
Der externe Sicherheitsprovider prüft die Identitäten und gibt einen Wert zurück, der angibt, ob die Identität authentisch ist oder nicht. Ist sie nicht authentisch, wird eine Sicherheitsausnahme ausgelöst.

Sie können die Eigenschaft Reject Empty Password auf TRUE setzen, um festzulegen, dass der Sicherheitsmanager einen Benutzernamen während der Authentifizierung ablehnen soll, wenn der Benutzername ein leeres Kennworttoken hat, ohne den Benutzernamen beim konfigurierten Provider zu authentifizieren.

Einige Identitätsprovider unterstützen nur einen einzigen Typ von Authentifizierungstoken. Wird ein Token mit einem anderen Typ an den Nachrichtenfluss übergeben, wird eine Ausnahme ausgelöst. LDAP beispielsweise unterstützt nur das Token Benutzername und Kennwort.

Ein LDAP-Provider kann für die Authentifizierung eines eingehenden Identitätstokens genutzt werden. Der LDAP-Server muss mit LDAP der Version 3 konform sein.

Sie können auch einen STS-Provider von WS-Trust V1.3 STS (beispielsweise TFIM Version 6.2) für die Authentifizierung einer eingehenden Identität oder eines Sicherheitstokens verwenden. Der Sicherheitsmanager ruft den WS-Trust V1.3-Provider nur einmal auf, selbst wenn er für zusätzliche Sicherheitsoperationen (wie die Zuordnung oder Berechtigung) festgelegt wurde. Wenn Sie also TFIM verwenden, müssen Sie eine Einzelmodulkette so konfigurieren, dass alle erforderlichen Operationen der Authentifizierung, Zuordnung und Berechtigung ausgeführt werden.

Weitere Informationen zur Verwendung von TFIM V6.2 für die Authentifizierung finden Sie unter Authentifizierung, Zuordnung und Berechtigung mit TFIM V6.2 und TAM.

Aus Gründen der Kompatibilität mit früheren Versionen von IBM Integration Buswird auch TFIM V6.1 unterstützt. Weitere Informationen zur Verwendung von TFIM V6.1 für die Authentifizierung finden Sie unter Authentifizierung, Zuordnung und Berechtigung mit TFIM V6.1 und TAM.

Der Windows-Domänencontroller und die Kerberos-Key-Distribution-Center-Provider werden über die integrierte Windows-Authentifizierung erreicht. Weitere Informationen finden Sie unter Integrierte Windows-Authentifizierung.