The <authentication> pipeline configuration element

指定入站和出站 SOAP 消息头中的安全性令牌的用法。

用于:

  • 服务提供者
  • 服务请求者

包含于:

属性

属性 描述
信任和方式
将信任属性和方式属性一起指定:
  • 是否使用已断言的身份
  • SOAP 消息中使用的安全性令牌的组合。
已断言的身份允许可信用户断言工作必须在其他身份 (即 已断言的身份) 下运行,而不允许可信用户具有与该身份关联的凭证。

使用声明的身份时,消息包含 信任令牌身份令牌。 信任令牌用于检查发送方是否具有断言身份的正确许可权。 身份令牌保存已声明的身份,即运行请求所使用的用户标识。

使用已断言的身份要求服务提供者信任请求者进行此断言。 在 CICS®中,信任关系是通过安全管理器替代定义建立的: 请求身份必须具有正确的权限才能代表断言的身份开始工作。

表 1表 2中描述了这些属性的允许组合及其含义。
表 1. 服务请求者管道中的 方式信任 属性
根源 方式 (mode) 含义
未向消息添加任何凭证
基本 属性值的组合无效
特征符 不使用已声明的身份。 CICS 使用单个 X.509 安全性令牌,该令牌将添加到消息中,并用于对消息体进行签名。 使用 <certificate_label> 元素标识证书,并在 <algorithm> 元素中指定算法。
属性值的组合无效
基本 不使用已声明的身份。 CICS 向消息添加身份令牌,但不提供信任令牌。 身份令牌是没有密码的用户名。 放置在身份令牌中的用户标识是 DFHWS-USERID 容器的内容 (缺省情况下,该容器包含正在运行的任务的用户标识)。
特征符 属性值的组合无效
基本 属性值的组合无效
基本 基本 属性值的组合无效
基本 特征符 属性值的组合无效
特征符 属性值的组合无效
特征符 基本 使用已声明的身份。 CICS 将以下令牌添加到消息中:
  • 信任令牌是 X.509 安全性令牌。
  • 身份令牌是没有密码的用户名。
用于对身份令牌和消息体进行签名的证书由 <certificate_label>指定。 放置在身份令牌中的用户标识是 DFHWS-USERID 容器的内容 (缺省情况下,该容器包含正在运行的任务的用户标识)。
特征符 特征符 属性值的组合无效
表 2。 服务提供者管道中的 方式信任 属性
根源 方式 (mode) 含义
入站消息不需要包含任何凭证,并且 CICS 不会尝试抽取或验证在消息中找到的任何凭证。 但是, CICS 会检查是否正确对任何已签名的元素进行了签名。
基本 入站消息必须包含具有密码的用户名安全性令牌。 CICS 将用户名放在 DFHWS-USERID 容器中。
基本-ICRX 属性值的组合无效
基本 Kerberos 属性值的组合无效
特征符 入站消息必须包含已用于对消息体进行签名的 X.509 安全性令牌。
属性值的组合无效
基本 入站消息必须包含身份令牌,其中身份令牌包含用户标识和 (可选) 密码。 CICS 将用户标识放入 DFHWS-USERID 容器中。 如果未包含密码,那么 CICS 将使用用户标识而不进行验证。 如果包含密码,那么安全处理程序 DFHWSSE1 将对其进行验证。
基本-ICRX 入站消息必须包含 ICRX 身份令牌。 CICS 解析身份,将用户标识放入 DFHWS-USERID 容器中,并将 ICRX 放入容器 DFHWS-ICRX 中。 如果需要,认证将使用客户机认证的 SSL 或其他安全协议。
基本 Kerberos 属性值的组合无效
特征符 入站消息必须包含身份令牌,其中身份令牌是 SOAP 消息头中的第一个 X.509 证书。 证书不需要对消息进行签名。 安全处理程序抽取匹配的用户标识并将其放在 DFHWS-USERID 容器中。
基本 属性值的组合无效
基本 基本 入站消息必须使用已声明的身份:
  • 信任令牌是具有密码的用户名令牌
  • 身份令牌是无密码的第二个用户名令牌。 CICS 将此用户名放入容器 DFHWS-USERID 中。
基本 基本-ICRX 入站消息必须使用已声明的身份:
  • 信任令牌是具有密码的用户名令牌。

    CICS 确定用户标识和密码组合是否有效,如果有效,那么 CICS 会将已声明的基于 ICRX 的身份解析为用户标识。 然后, CICS 会执行从已认证身份到已声明身份的代理安全检查。

  • 身份令牌是 ICRX ,用于标识特定客户机用户。 CICS 将用户名放在容器 DFHWS-USERID 中,将 ICRX 放在容器 DFHWS-ICRX 中。
基本 基本 Kerberos

入站消息必须使用已声明的身份。

需要一个令牌,即具有下列其中一种格式类型的 Kerberos 版本 5 令牌:

  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
该令牌必须为基本 64 位编码。 CICS 使用 Network Authentication Service for z/OS® 来验证令牌,并将与该令牌关联的用户标识放入容器 DFHWS-USERID 中。
基本 特征符 入站消息必须使用已声明的身份:
  • 信任令牌是具有密码的用户名令牌
  • 身份令牌是 X.509 证书。 CICS 将与证书关联的用户标识放入容器 DFHWS-USERID 中。
特征符 属性值的组合无效
特征符 基本 入站消息必须使用已声明的身份:
  • 信任令牌是 X.509 证书
  • 身份令牌是没有密码的用户名令牌。 CICS 将用户名放入容器 DFHWS-USERID 中。
身份令牌和主体必须使用 X.509 证书进行签名。
特征符 基本-ICRX 入站消息必须使用已声明的身份。
  • 信任令牌是使用 X.509 证书签名的 ICRX。

    CICS 将 X.509 证书解析为用户标识,并确保 XML 签名有效。 CICS 将已声明的基于 ICRX 的身份解析为用户标识。 然后, CICS 将执行从已认证的 X.509 身份到已断言的 ICRX 身份的代理安全检查。

  • 身份令牌是没有密码的用户名令牌。 CICS 将用户名放在容器 DFHWS-USERID 中,将 ICRX 放在容器 DFHWS-ICRX 中。
特征符 基本 Kerberos 属性值的组合无效
特征符 特征符 入站消息必须使用已声明的身份:
  • 信任令牌是 X.509 证书
  • 身份令牌是第二个 X.509 证书。 CICS 将与此证书关联的用户标识放入容器 DFHWS-USERID 中。
身份令牌和主体必须使用第一个 X.509 证书 (信任令牌) 进行签名。
备注信息:
  1. 安装 PIPELINE 时,将检查信任属性值和方式属性值的组合。 如果未正确编码属性,那么安装将失败。
  2. CICS 在 VERIFY PHRASE中描述的过程中使用密码验证来验证用户标识。

包含:

  1. 可选的空 <suppress/> 元素。

    如果在服务提供者管道中指定了此元素,那么处理程序不会尝试使用消息中的任何安全性令牌来确定工作在哪个用户标识下运行。

    如果在服务请求者管道中指定了此元素,那么处理程序不会尝试向出站 SOAP 消息添加认证所需的任何安全性令牌。

  2. 在请求者管道中,这是一个可选的 <algorithm> 元素,用于指定用于对 SOAP 消息主体进行签名的算法的 URI。 如果信任与方式属性值的组合指示对消息进行了签名,那么必须指定此元素。 只能在此元素中指定具有 SHA1 算法的 RSA。 URI 为 http://www.w3.org/2000/09/xmldsig#rsa-sha1
  3. 可选 <certificate_label> 元素,用于指定与安装在 RACF®中的 X.509 数字证书相关联的标签。 如果在服务请求者管道中指定此元素,并且未指定 <suppress> 元素,那么会将证书添加到 SOAP 消息中的安全性头。 如果未指定 <certificate_label> 元素,那么 CICS 将使用 RACF 密钥环中的缺省证书。

    在服务提供者管道中将忽略此元素。

示例

<authentication trust="signature" mode="basic">
  <suppress/>
  <algorithm>http://www.w3.org/2000/09/xmldsig#rsa-sha1</algorithm>
  <certificate_label>AUTHCERT03</certificate_label>
</authentication>