工作方式: 使用 SOAP 消息安全性的 CICS 认证

WS-Security 提供了一种通用机制,可将安全令牌与信息关联起来,以进行单一信息验证。 它不要求您使用特定类型的安全性令牌。 相反,它是可扩展的,并支持多种安全性令牌格式以适应各种认证机制。 例如,客户机可以提供对标识和特定业务证书的证明。

WS-Security 通过插入 SOAP 安全性头应用于消息。 WS-Security 定义可在 SOAP 包络中使用的词汇表。 XML 元素 <wsse:Security> 是安全性相关信息的容器。 (wsse 代表 Web Service 安全性扩展。 wsse 是任意前缀。 如果另一前缀与名称空间定义匹配,那么可以使用该前缀。)

使用 WS-Security 进行认证时,安全性令牌将嵌入到 SOAP 头中,并从消息发送方传播到预期的消息接收方。 在接收端,服务器安全处理程序负责认证安全性令牌并为请求设置调用者身份。

最简单的安全性令牌形式是用户名令牌,用于提供用户名和 (可选) 密码。 已签名的安全性令牌是由特定权限以数字方式签署的令牌。 例如, X.509 证书是已签名的安全性令牌。 WS-Security 的安全性令牌使用在不同的概要文件 (例如,用户名令牌概要文件和 X.509 令牌概要文件) 中定义。

您可以通过 CICS® 从以下认证选项中选择 SOAP 消息认证:
基本认证 (仅适用于 Web Service 提供者)
在服务提供者方式下, CICS 可以接受 SOAP 消息头中的 UsernameToken 以在入站 SOAP 消息上进行认证。 UsernameToken 包含 Username 元素和 Password 元素。 CICS RACF® 验证用户名和密码。如果检查成功, 将用户名放入容器 DFHWS-USERID 中,并在管道中处理 SOAP 消息。 CICS 如果 CICS 无法验证UsernameToken, ,则会向服务请求者返回SOAP错误消息。

当 CICS 是服务请求者时,包含密码的用户名令牌在出站 SOAP 消息上不受支持。 可以编写定制安全处理程序以存储和发送密码。 任何此类处理程序都必须负责保护所使用的凭证。 强烈建议不要使用此模式,因为它本来就不安全。

X.509 证书认证

6.16.2

用于签署 SOAP 消息的 X.509 证书也可用于认证。 在服务提供者方式下, CICS 将证书映射到 RACF 用户标识,并将该用户标识放在容器 DFHWS-USERID 中。 在服务请求者方式下, CICS 可以将 SOAP 消息头中的 X.509 证书发送到随后用于认证目的的服务提供者。 该证书由管道配置文件中的元素标识。

6.3CICS TS 6.3 起,WS-Security 功能对 X.509 证书验证的支持已被移除。

可信认证 (身份断言)

在服务提供者管道中, CICS 可以接受 SOAP 消息头中的 UsernameToken 或 X.509 证书作为可信证书。 此类型的安全性令牌通常包含用户名和密码,但在这种情况下,不需要密码。 使用 X.509 证书时,该证书将映射到 RACF 用户标识。 CICS 信任提供的身份,并将用户标识放在容器 DFHWS-USERID 中。

此选项是一种身份断言形式,其中已认证的用户身份将转发到 CICS,并且 CICS 无需重新认证即可接受该身份。

在服务请求者管道中, CICS 可以向服务提供者发送不带 SOAP 消息头中的密码的用户名令牌。 放置在身份令牌中的用户标识是 DFHWS-USERID 容器的内容。 CICS 还可以发送 X.509 证书。 该证书由管道配置文件中的元素标识。

基于 ICRX 的身份传播 (仅适用于 Web Service 提供者)
ICRX 身份令牌是 z/OS® 标识符,用于将分布式 ID 与 SAF 用户 ID(可能共享)绑定。 用户活动可以使用在 z/OS外部已知的身份进行审计和跟踪,但可以使用其 SAF 身份进行授权。 在服务提供商模式下,您可以通过 IBM® DataPower® Gateway 作为网络服务请求者应用程序和 CICS 网络服务提供商之间的中间服务器来实现身份传播。 Web Service 请求者应用程序向 IBM DataPower Gateway进行认证。 IBM DataPower Gateway 然后创建 z/OS ICRX (Extended Identity Context Reference) 身份令牌,并通过可信 TLS 连接将该令牌转发到 WS-Security 头中的 CICS 。 ICRX 令牌允许 CICS 将分布式用户标识映射到 RACF 用户标识。 CICS 将 ICRX 身份令牌解析为用户标识,并将副本放入 DFHWS-ICRX 容器中。 CICS 还填充 DFHWS-USERID 容器。

基于 ICRX 的身份传播允许用户通过分布式身份对 CICS 资源进行审计和跟踪,同时使用映射的 RACF 用户标识进行资源授权。

有关使用 ICRX 身份令牌的更多信息,请参阅 配置提供者方式 Web Service 以进行身份传播

高级认证 (安全性令牌服务)

6.16.2

在 Web Service 提供者和请求者管道中,您可以验证安全性令牌或与安全性令牌服务 (STS) 交换安全性令牌以进行认证。 STS 使 CICS 能够接受和发送消息头中具有不受 CICS 安全处理程序直接支持的安全性令牌的消息; 例如, LTPA 和 Kerberos 令牌或 SAML 断言。 有关更多信息,请参阅 安全性令牌服务

您可以配置 CICS 安全处理程序以定义 CICS 如何与 STS 交互,或者编写您自己的消息处理程序以使用信任客户机接口。 无论选择哪种方法,都请使用 TLS 来保护 CICS 与 STS 之间的连接。

对于入站消息,您可以验证或交换安全性令牌。 如果请求要交换安全性令牌,那么 CICS 必须从 STS 接收回用户名令牌。 对于出站消息,只能将用户名令牌交换为安全性令牌。

6.3 使用 CICS 安全令牌服务的 SAML 支持已从 CICS TS 6.3 中删除。

6.3CICS TS 6.3 起,不再支持为 WS-Security 功能签署和加密 SOAP 消息。