sts_authentication>管道配置元素
指定必须使用安全令牌服务 (STS) 进行身份验证,并决定发送何种类型的请求。
稳定功能: CICS®网络服务对 WS-Security 基础架构管道配置的支持已稳定。 另请参阅 稳定通知和终止功能。
用于
- 服务提供者
- 服务请求者
包含于:
属性
- 操作
- 指定 CICS 在服务提供者管道中收到消息时向 STS 发送的请求类型。 有效值如下:
- 发放
- STS 为 SOAP 报文签发身份令牌。 此值对提供程序管道中的 SAML 无效。
- 验证
- STS 验证所提供的身份令牌,并向安全处理程序返回令牌是否有效。
如果不指定此属性,CICS 将假定该操作是请求身份令牌。
在服务请求者管道中,不能指定此属性,因为 CICS 总是请求 STS 签发令牌。
- 提取
- 该属性仅在使用 SAML 时有效。 是否要提取 SAML 令牌的元素? 有效值如下:
- False
- SAML 令牌的元素不会被提取到容器中。
- yes
- SAML 标记的主要元素会被提取出来,并放置在 CICS 创建的容器中。
- 令牌签名
- 该属性仅在使用 SAML 时有效。 是否必须提供令牌签名? 有效值如下:
- ignored
- 提供的任何签名都将被忽略。
- 必需
- 必须提供有效签名。 这是缺省值。
- 传输通道
- 该属性仅在使用 SAML 时有效。 在服务提供商流水线中,该属性指定流水线中接收到的消息中包含的 SAML 断言是否可在事务通道 DFHTRANSACTION 中的容器中提供给目标应用程序。 有效值如下:
- yes
- SAML 断言会被复制到 DFHTRANSACTION 通道的容器中,供程序使用。 有关容器名称和类型的更多信息,请参阅 SAML 可链接接口 DFHSAML。
- False
- SAML 断言不会通过 DFHTRANSACTION 通道提供给程序,而是通过管道传递给程序的通道中的容器提供给程序。 这是缺省值。
在服务请求者管道中,该属性指定是否在请求中使用事务通道 DFHTRANSACTION 的 DFHSAML-OUTTOKEN 容器中包含的 SAML 标记。 有效值如下:- yes
- DFHTRANSACTION 通道的 DFHSAML-OUTTOKEN 容器内容将用作请求的 SAML 标记。
- False
- 传递给管道的通道中 DFHSAML-OUTTOKEN 容器的内容将用作请求的 SAML 标记。 这是缺省值。
包含:
- 一个
<auth_token_type>元素。 在服务请求者管道中指定<sts_authentication>元素时,此元素为必填元素,而在服务提供者管道中则为可选元素。 有关详细信息,请参阅 "<auth_token_type> 元素。- 在服务请求者管道中,
<auth_token_type>元素表示 STS 在 CICS 发送 DFHWS-USERID 容器中包含的用户 ID 时发出的令牌类型。 CICS从 STS 接收到的令牌被置于出站报文的报文头中。 - 在服务提供商管道中,
<auth_token_type>元素用于确定 CICS 从报文头获取并发送到 STS 以交换或验证的身份令牌。 CICS 在报文头中使用指定类型的第一个身份标记。 如果不指定此元素,CICS 将使用在报文头中找到的第一个身份标记。 CICS 不将以下内容视为身份标记:wsu:Timestampxenc:ReferenceListxenc:EncryptedKeyds:Signature
- 在服务请求者管道中,
- 仅在服务提供商管道中,一个可选的空
<suppress/>元素。 如果指定了该元素,处理程序就不会尝试使用报文中的任何安全令牌来确定工作运行的用户 ID。<suppress/>元素包含 STS 返回的身份令牌。
如果使用任何配置元素,都必须按照列出的顺序使用。
示例
下面的示例显示了一个服务提供商管道,其中安全处理器向 STS 请求令牌。
<sts_authentication action="issue">
<auth_token_type>
<namespace>http://example.org.tokens</namespace>
<element>UsernameToken</element>
</auth_token_type>
<suppress/>
</sts_authentication>