Sécurité
La sécurité Liberty protège les ressources Web conformément à la spécification Servlet 3.0 et les ressources EJB conformément à la spécification ejbLite 3.1. Elle protège également les connexions JMX lorsque vous utilisez le connecteur REST.
Le diagramme suivant montre comment s'enchaînent les activités dans un processus de sécurité type mettant en jeu l'accès à une ressource Web protégée. Pour que le processus de sécurité fonctionne, vous devez configurer les fonctions de sécurité appropriées et définir les configurations qui sont requises pour l'authentification et l'autorisation.

- Un client HTTP demande une ressource Web qui se trouve dans le conteneur Web.
- Le conteneur Web délègue le contrôle de sécurité au collaborateur de sécurité Web.
- Le collaborateur de sécurité Web demande à l'utilisateur d'entrer ses données d'identification si elles n'ont pas été indiquées, et utilise le service d'authentification pour authentifier l'utilisateur.
- Le service d'authentification vérifie l'identité de l'utilisateur et, s'il l'authentifie comme utilisateur valide, il crée et renvoie le sujet. Sinon, il émet une exception signalant l'échec de l'authentification.
- Le collaborateur de sécurité Web fait appel au service d'autorisation pour lui demander de contrôler les autorisations de l'utilisateur.
- Le service d'autorisation renvoie le résultat de son contrôle au collaborateur de sécurité Web.
- Le collaborateur de sécurité Web renvoie le résultat du contrôle de sécurité déterminant si l'utilisateur est autorisé ou non.
- Selon le résultat, le conteneur Web accède ou rejette la demande de ressource.
- Sécurité rapide
- Authentification
- Autorisation
- SSL (Secure Socket Layer)
- SSO (Single Sign-On, ou connexion unique)
- Propriétés liées à la sécurité Web
- API publiques de sécurité
- Sécurité de gestion
Sécurité z/OS
- alias d'authentification
- Exemples de configuration
- Différences dans les capacités de sécurité entre profil Liberty et profil complet
- Configuration du protocole Lightweight Directory Access Protocol (LDAP)
- Traitement des incidents
Outils
Sécurité rapide
Avec l'élément quickStartSecurity, vous pouvez configurer un environnement de sécurité comportant un seul utilisateur dans Liberty. Voir Présentation rapide de la sécurité pour des détails sur l'enchaînement d'activités de sécurité lorsque vous utilisez l'élément quickStartSecurity, et Mise en route de la sécurité dans Liberty pour un exemple de tâche.
Authentification
L'authentification confirme l'identité d'un utilisateur. La forme la plus courante de mécanisme d'authentification est l'emploi d'un nom d'utilisateur couplé à un mot de passe. On retrouve ce principe dans l'authentification de base ainsi que dans la connexion par formulaire pour les applications Web. Lorsqu'un utilisateur est authentifié, la source d'une demande est représentée sous forme d'objet Subject à l'exécution. Ce processus implique d'effectuer un contrôle d'accès lorsque l'utilisateur demande à accéder à une ressource, contrôle qui sera basé sur les règles d'autorisation configurées pour la ressource. Voir Authentification pour une description plus complète de ces concepts, et Authentification des utilisateurs dans Liberty pour des procédures détaillées.
Autorisation
L'autorisation détermine si un utilisateur peut avoir accès à des ressources dans le système. Le modèle Java™ EE utilise des sujets, des ressources et des rôles pour déterminer ce qui doit être autorisé et ce qui ne doit pas l'être. Ce processus implique de vérifier les données d'identification de l'utilisateur, comme l'ID et le mot de passe, les certificats et les jetons, et de créer un sujet contenant des données sur l'utilisateur authentifié. Voir Autorisation pour une description plus complète de ces concepts, et Autorisation d'accès aux ressources dans Liberty pour des procédures détaillées.
SSL (Secure Socket Layer)
SSL assure la sécurité des échanges de données pendant leur transport. Voir Activation de la communication SSL dans Liberty pour des procédures détaillées.
SSO (Single Sign-On, ou connexion unique)
SSO permet l'accès aux applications sans qu'il ne soit nécessaire de se connecter plusieurs fois. Voir les concepts de SSO pour plus de détails et Customizing SSO configuration using LTPA cookies in Liberty pour une procédure détaillée.
Propriétés liées à la sécurité Web
Parmi les propriétés de configuration, nombre d'entre elles s'inscrivent dans le cadre de la sécurité Web des applications. C'est notamment le cas de SSO et de l'authentification par certificat client. Voir Customizing SSO configuration using LTPA cookies in Liberty et Web Service Security pour identifier les attributs et Configuration des propriétés liées à la sécurité Web dans Liberty pour quelques exemples.
API publiques de sécurité
Liberty contient des API publiques que vous pouvez utiliser pour implémenter des fonctions de sécurité. Les API de sécurité publiques dans Liberty constituent un sous-ensemble des API publiques de sécurité du WebSphere Application Server Traditional. Les principales classes sont WSSecurityHelper, WSSubject et RegistryHelper. Ces classes contiennent chacune un sous-ensemble des méthodes disponibles dans les versions traditionnelles de WebSphere Application Server. Il y a également une nouvelle classe, WebSecurityHelper. Voir API publiques de sécurité dans Liberty.
La documentation d'API Java de chaque API Liberty est disponible dans un fichier .zip séparé des sous-répertoires javadoc du répertoire ${wlp.install.dir}/dev.
Voir Développement d'extensions à l'infrastructure de sécurité de Liberty pour des exemples.
Sécurité de gestion
La sécurité de gestion permet de gérer Liberty via un client JMX distant. Pour savoir comment sécuriser les connexions distantes via le connecteur REST, voir Connexion à Liberty à l'aide de JMX. Vous pouvez aussi développer votre propre application client JMX comme décrit dans Développement d'un client Java JMX pour Liberty.

Sécurité z/OS
La fonction d'autorisation système sur la plateforme z/OS est prise en charge dans Liberty pour l'authentification et l'autorisation. Pour les procédures détaillées, voir Activation des services autorisés z/OS sur Liberty for z/OS et Configuration de l'autorisation SAF.
alias d'authentification
Les alias des données d'authentification fournissent le support de sécurité pour la connectivité à la base de données. Voir Configuration des alias d'authentification pour Liberty.
Exemples de configuration
Le site Web WASdev.net propose plusieurs exemples de configuration de sécurité pour votre référence lorsque vous configurez la sécurité pour vos applications dans Liberty.
Différences dans les capacités de sécurité entre profil Liberty et profil complet
Cette rubrique décrit les différences principales de la capacité de sécurité entre le WebSphere Application Server Traditional et Liberty. Voir Différences de configuration de la sécurité entre lWebSphere Application Server Traditional et Liberty.
Configuration du protocole Lightweight Directory Access Protocol (LDAP)
Après avoir sélectionné l'élément de registre d'utilisateurs LDAP à ajouter à la configuration du serveur, le panneau des détails de registre d'utilisateurs LDAP affiche une liste des types de serveur LDAP pris en charge. Si vous sélectionnez un type de serveur LDAP pris en charge, les filtres LDAP associés au type de serveur LDAP sélectionné ne seront pas automatiquement pré-remplis.
- Filtres LDAP Active Directory
- Filtres LDAP personnalisés
- Filtres LDAP Domino
- Filtres LDAP eDirectory
- Filtres LDAP IBM® Directory Server
- Filtres LDAP iPlanet
- Filtres LDAP Netscape
- Filtres LDAP SecureWay
- Filtre utilisateur
- Filtre groupe
- Mappe d'ID utilisateur
- Mappe d'ID groupe
- Mappe d'ID membre de groupe
Sinon, vous pouvez ajouter un filtre LDAP à la configuration du serveur. Un ID doit être spécifié pour associer la référence à cette configuration de filtre spécifique, afin de l'associer à la configuration du registre d'utilisateurs LDAP. Si cette méthode de configuration des filtres LDAP est utilisée, l'ID de référence sera ensuite sélectionné dans le panneau des détails du registre d'utilisateurs LDAP (situé en utilisant le bouton Parcourir sous le type de filtre LDAP correspondant).
Si vous utilisez les outils de développement Eclipse pour configurer LDAP, vérifiez la configuration sauvegardée dans les exemples dans wlp/templates/config/ldapRegistry.xml.
Pour plus d'informations, voir Configuration de registres d'utilisateurs LDAP dans Liberty.
Traitement des incidents
Utilisez les informations d'identification et de résolution des incidents pour résoudre les problèmes liés à la sécurité lorsque vous utilisez Liberty. Reportez-vous aux rubriques Dépannage de la sécurité et LDAP.

Outils
Configurez la sécurité avec les outils de développement d'Eclipse pour Liberty. Voir Edition de la configuration Liberty avec les outils de développement. Des informations spécifiques sur ces outils et la configuration de sécurité sont disponibles dans les rubriques Configuration d'un intercepteur de relations de confiance sous Liberty avec les outils de développement et Configuration du service JAAS sous Liberty avec les outils de développement.