第 7 章关于 PicketLink 登录模块

PicketLink 登录模块通常配置为安全设置的一部分，以使用安全令牌服务(STS)或基于浏览器的 SSO 对用户进行身份验证。STS 可以和登录模块位于同一个容器上，或者通过 Web 服务调用或其他技术远程访问。PicketLink STS 登录模块通过标准 WS-Trust 调用支持非 PicketLink STS 实施。有关安全令牌服务背后的概念以及带 SAML 的基于浏览器的 SSO 的更多详情，请参阅 JBoss EAP 安全架构指南。

7.1. STSIssuingLoginModule
复制链接

全名： org.picketlink.identity.federation.core.wstrust.auth.STSIssuingLoginModule

STSIssuingLoginModule 使用用户名和密码根据 STS 验证用户，方法是检索令牌。验证过程如下：

调用配置的 STS 并请求安全令牌。在成功收到 RequestedSecurityToken 后，它会将身份验证标记为成功。
对 STS 的调用通常需要身份验证。此登录模块使用以下源之一中的凭证：
- 如果 useOptionsCredentials 模块选项设为 true，则其属性文件。
- 如果将 password-stacking 模块选项设为 useFirstPass，则以前的登录模块凭据。
- 从配置的 CallbackHandler 中提供 Name 和 Password Callback。
身份验证成功后，安全令牌通过 org.picketlink.identity.federation.core.wstrust.lm.stsToken 键存储在登录模块的共享映射中。

注意

此登录模块没有可直接配置的属性，但您可以使用模块选项传递配置选项。

STSIssuingLoginModule 示例

<security-domain name="saml-issue-token">
  <authentication>
    <login-module code="org.picketlink.identity.federation.core.wstrust.auth.STSIssuingLoginModule" flag="required">
      <module-option name="configFile">./picketlink-sts-client.properties</module-option>
      <module-option name="endpointURI">http://security_saml/endpoint</module-option>
    </login-module>
  </authentication>
  <mapping>
    <mapping-module code="org.picketlink.identity.federation.bindings.jboss.auth.mapping.STSPrincipalMappingProvider" type="principal"/>
    <mapping-module code="org.picketlink.identity.federation.bindings.jboss.auth.mapping.STSGroupMappingProvider" type="role" />
  </mapping>
</security-domain>

<security-domain name="saml-issue-token">
  <authentication>
    <login-module code="org.picketlink.identity.federation.core.wstrust.auth.STSIssuingLoginModule" flag="required">
      <module-option name="configFile">./picketlink-sts-client.properties</module-option>
      <module-option name="endpointURI">http://security_saml/endpoint</module-option>
    </login-module>
  </authentication>
  <mapping>
    <mapping-module code="org.picketlink.identity.federation.bindings.jboss.auth.mapping.STSPrincipalMappingProvider" type="principal"/>
    <mapping-module code="org.picketlink.identity.federation.bindings.jboss.auth.mapping.STSGroupMappingProvider" type="role" />
  </mapping>
</security-domain>

Copy to Clipboard

Toggle word wrap

在上例中，指定的 Principal 映射供应商和 RoleGroup 映射供应商会导致填充经过身份验证的 Subject，从而启用 coarse-grained 和基于角色的授权。身份验证后，安全令牌可用，并可用于通过单点登录调用其他服务。

第 7 章关于 PicketLink 登录模块

7.1. STSIssuingLoginModule
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 7 章 关于 PicketLink 登录模块

7.1. STSIssuingLoginModule复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 7 章关于 PicketLink 登录模块

7.1. STSIssuingLoginModule
复制链接