Common Secure Interoperability version 2 (CSIv2)

Common Secure Interoperability version 2 (CSIv2) est une architecture qui permet de répondre aux exigences d'interopérabilité de sécurité CORBA pour l'authentification, la délégation et les privilèges. Le protocole SAS est utilisé dans l'architecture CSIv2 pour l'échange de jetons dans les contextes de service d'une demande GIOP et de messages de réponse pour l'établissement de contextes de sécurité. La sécurité SSL/TLS est requise par SAS, et elle fournit deux couches supplémentaires pour l'authentification et la délégation de client.

Le protocole SAS est divisé en deux couches. La couche d'authentification est utilisée pour effectuer une authentification de client lorsqu'une authentification suffisante n'a pas pu être accomplie dans le transport. La couche attributs peut être utilisée par un client pour envoyer ou fournir des attributs de sécurité, par exemple une identité à un serveur cible où ils peuvent être appliqués dans des décisions de contrôle d'accès. Le transport fait référence à une autre couche dans la documentation CSIv2 pour simplifier la discussion, même si cela ne fait pas partie du message de protocole SAS et que le message SAS repose sur le transport.

Vérification d'identité CSIv2

La vérification d'identité CSIv2 dans la couche attributs permet de vérifier l'identité d'un processus client vers un processus serveur lorsque la demande est effectuée avec RMI/IIOP.

Une assertion est une déclaration d'une entité à une autre pour l'acceptation d'une identité pour son compte. Un client peut vérifier une identité qui représente le sujet qui a pris effet au démarrage de la ressource distante. Outre le jeton d'identité qui représente l'utilisateur, le processus client envoie également sa propre identité dans la couche authentification ou la couche transport. Le serveur cible s'assure que le processus client peut vérifier une identité en effectuant une validation de confiance. Si le serveur cible fait confiance au client, il utilise l'identité vérifiée pour créer un sujet côté serveur qui représente l'utilisateur qui était actif au niveau du processus client lors de l'appel.

Le client peut vérifier un utilisateur qui utilise un jeton d'identité de nom principal. Le format du nom principal dépend du registre d'utilisateurs qui est configuré au niveau du processus client. Le jeton d'identité anonyme est également pris en charge et le serveur utilise le sujet non authentifié lorsqu'il reçoit un tel jeton.

Pour plus d'informations sur la configuration de la couche attributs CSIV2 avec vérification d'identité, voir Configuration d'une couche d'attributs CSIv2 entrante ou Configuration d'une couche d'attributs CSIv2 sortante.

Couche d'authentification CSIv2

La couche d'authentification CSIv2 permet de transférer les informations d'authentification d'un processus client vers un processus serveur lorsque la demande est effectuée avec RMI/IIOP.

La couche d'authentification CSIv2 peut contenir un jeton qui est envoyé par le client et que le serveur peut utiliser pour authentifier le client. Différents types de jeton sont pris en charge dans la couche d'authentification. Par exemple, le jeton GSSUP est utilisé pour transmettre le nom et le mot de passe utilisateur, lesquels sont validés par rapport au registre d'utilisateurs du serveur cible. Le jeton LTPA (Lightweight Third Party Authentication) est un jeton qui représente l'utilisateur du client sans qu'il soit nécessaire de transmettre un mot de passe, mais l'utilisateur doit être authentifié au niveau du processus client avant l'appel de la méthode distante, puis les processus client et serveur doivent tous deux partager des clés LTPA.

Quel que soit le type de jeton, il permet d'authentifier l'utilisateur distant au niveau du processus serveur et de créer une représentation de sujet qui est effective côté client avant que le client n'ait démarré l'objet distant. Lorsque la vérification d'identité est également activée, la couche d'authentification peut contenir les informations de sécurité qui représentent l'identité du client alors que le jeton de vérification d'identité représente l'utilisateur distant au moment de l'appel.

Pour plus d'informations sur la configuration de la couche d'authentification CSIV2, voir Configuration d'une couche authentication CSIv2 entrante ou Configuration d'une couche d'authentification CSIv2 sortante.

Couche transport CSIv2

La couche transport Common Secure Interoperability version 2 (CSIv2) permet de protéger le message de demande de protocole SAS et de prendre en charge l'authentification par certificat client depuis un processus client vers un processus serveur.

La fonction principale de la couche transport est d'offrir les caractéristiques de sécurité de la transmission des messages de protocole SAS depuis un client vers un processus serveur. Les messages peuvent être protégés à l'aide d'un chiffrement et/ou d'une signature. La fonction SSL Liberty est utilisée comme mécanisme sous-jacent qui offre de telles caractéristiques.

La couche transport a une seconde fonction qui consiste à fournir une source de matériel d'authentification lorsque la couche d'authentification n'est pas utilisée. Si la vérification d'identité est activée mais pas la couche d'authentification, l'identité du processus client est obtenue à partir de la chaîne du certificat client de transport. Le processus serveur authentifie la chaîne du certificat client en la mappant à un utilisateur dans son registre d'utilisateurs. Le nom distinctif de l'émetteur de la chaîne de certificat est utilisé pour déterminer si le client est digne de confiance pour la vérification d'identité.

Si aucune vérification d'identité ni couche d'authentification n'est activée, le sujet qui est obtenu du mappage de la chaîne du certificat client est utilisé comme sujet appelant au démarrage de l'appel de méthode distante réel au niveau du processus serveur cible. Cela s'applique également lorsque la couche d'authentification du serveur cible est prise en charge, sans être obligatoire, et que le client n'a pas envoyé de jeton d'authentification et de jeton d'identité.

Pour plus d'informations sur la configuration de la couche attributs CSIV2 avec vérification d'identité, voir Configuration d'une couche transport CSIv2 entrante ou Configuration de la couche transport CSIv2 sortante.

Termes clés

ORB (Object Request Broker)
Etablit une liaison au niveau des appels de méthode d'objet entre les entités, lesquelles peuvent ou non se trouver dans le même processus.
Contexte de sécurité
Informations utilisées pour prescrire les caractéristiques de sécurité d'une opération particulière sur un objet dans une fonction ORB. Il peut s'agir, par exemple, de l'identité qui doit être utilisée lors de l'appel de l'opération sur l'objet.
CSS (service de sécurité client)
Entité qui initie une demande de protocole SAS pour établir un contexte de sécurité dans le service de sécurité cible d'une opération sur un objet de la fonction ORB cible.
T)SS (service de sécurité cible)
Entité qui reçoit une demande de protocole SAS pour l'établissement d'un contexte de sécurité en relation avec une opération sur un objet dans sa fonction ORB. Accepte ou refuse une demande d'établissement ou d'utilisation de contexte de sécurité.
Authentification du client
Mécanisme basé sur un jeton qui est utilisé pour authentifier le client. Une clé GSSUP (Username Password GSS) est requise au minimum, mais il peut y en avoir d'autres, comme une clé LTPA.
Vérification d'identité
Mécanisme par lequel une entité intermédiaire garantit qu'une autre entité et le service utilisent l'identité vérifiée pour le principal d'appel. Le service TSS peut décider si il fait ou non confiance au proxy qui vérifie l'identité.
Sans état
Le contexte de sécurité est utilisé uniquement pendant la durée d'une seule demande et il n'est pas réutilisé pour les demandes suivantes.
Avec état
Le contexte de sécurité peut être réutilisé par plusieurs demandes une fois qu'il est établi et jusqu'à ce qu'il soit invalidé par le service TSS ou CSS.
Sécurité de couche transport
Support de sécurité qui est fourni par le transport sous-jacent.

Icône indiquant le type de rubrique Rubrique de concept

Nom du fichier : cwlp_csiv2overview.html