Sécurité d'application de conteneur Web (webAppSecurity)

Configure la sécurité d'application de conteneur Web.

Nom de l'attribut Type de données Valeur par défaut Description
allowAuthenticationFailOverToAuthMethod
  • FORM
  • BASIC
  Indique la méthode d'authentification de remplacement qui sera utilisée lorsque l'authentification par certificat échoue. Les valeurs valides sont BASIC et FORM.
FORM
%allowAuthenticationFailOverToAuthMethod.FORM
BASIC
%allowAuthenticationFailOverToAuthMethod.BASIC
allowFailOverToBasicAuth boolean false Détermine s'il faut basculer en mode authentification de base (nom d'utilisateur/mot de passe) lorsque l'authentification par certificat échoue. La propriété personnalisée équivalente dans le profil de serveur d'applications complet est com.ibm.wsspi.security.web.failOverToBasicAuth.
allowLogoutPageRedirectToAnyHost boolean false Avertissement, risque de sécurité : en attribuant la valeur true à cette propriété, vous exposez vos systèmes aux attaques par redirection d'URL. Si la valeur est true, n'importe quel hôte peut être spécifié pour la redirection depuis la page de déconnexion. Si la valeur est false, et si la page de déconnexion pointe vers un hôte différent ou ne figurant pas dans la liste des noms de domaine autorisés, une page de déconnexion générique est affichée. La propriété équivalente dans le profil de serveur d'applications complet est com.ibm.websphere.security.allowAnyLogoutExitPageHost.
displayAuthenticationRealm boolean false Avertissement, risque de sécurité : si cette propriété est mise à true, l'utilisateur aura connaissance du nom du superdomaine (realm) du registre d'utilisateurs. Or, ce nom contient parfois des informations sensibles. Par exemple, en cas d'utilisation d'une configuration LDAP, le nom d'hôte et le port du serveur LDAP seront révélés. Cette propriété de configuration détermine ce qui est affiché dans la fenêtre de connexion par authentification de base HTTP lorsque le nom du superdomaine n'est pas défini dans le descripteur web.xml de l'application. (Dès lors que le nom du superdomaine est défini dans le fichier web.xml de l'application, peu importe la valeur de cette propriété, puisqu'elle est ignorée dans ce cas.) Si la valeur de cette propriété est true, le nom de superdomaine affiché sera celui du registre d'utilisateurs en cas d'utilisation du mécanisme d'authentification LTPA. Si la valeur est false, l'information affichée pour le nom de superdomaine sera une mention générique telle que "Domaine par défaut" ou "Default Realm". La propriété équivalente dans le profil de serveur d'applications complet est com.ibm.websphere.security.displayRealm.
httpOnlyCookies boolean true Détermine si l'option de cookies exclusivement HTTP (HttpOnly) est activée.
includePathInWASReqURL boolean false La configuration du paramètre de chemin (Path) peut permettre au client/navigateur de gérer plusieurs cookies WASReqURL lors de connexions simultanées multiples sur le même agent utilisateur. La propriété personnalisée équivalente dans le profil de serveur d'application complet est com.ibm.websphere.security.setContextRootForFormLogin.
loginFormURL string   Indique l'URL globale d'une page de connexion par formulaire incluant le contexte racine. La page de connexion par formulaire doit faire partie du fichier WAR. Si une application de connexion par formulaire n'indique pas de page de connexion par formulaire dans le fichier web.xml, elle utilise l'URL de connexion par formulaire globale.
logoutOnHttpSessionExpire boolean false Spécifie si l'utilisateur est déconnecté à l'expiration du minuteur de la session HTTP. Si la valeur de cette propriété est false, les données d'identification de l'utilisateur demeurent actives jusqu'à l'expiration du jeton SSO. La propriété personnalisée équivalente dans le profil de serveur d'applications complet est com.ibm.ws.security.web.logoutOnHTTPSessionExpire.
logoutPageRedirectDomainNames string   Liste de noms de domaine, séparés par une barre verticale (|), autorisés comme cibles de redirection depuis la page de déconnexion (localhost est implicite). La propriété équivalente dans le profil de serveur d'applications complet est com.ibm.websphere.security.logoutExitPageDomainList.
postParamCookieSize int 16384 Taille du cookie de paramètre POST. Si la taille du cookie dépasse la limite du navigateur, il peut en résulter un comportement imprévu. La valeur de cette propriété doit être un entier positif, représentant la taille maximum du cookie en octets. La propriété équivalente dans le profil de serveur d'applications complet est com.ibm.websphere.security.util.postParamMaxCookieSize.
postParamSaveMethod
  • Cookie
  • Session
  • None
Cookie Détermine où sont stockés les paramètres POST en cas de redirection. Les valeurs valides sont cookie (les paramètres POST sont stockés dans un cookie), session (les paramètres POST sont stockés dans la session HTTP) et none (les paramètres POST ne sont pas conservés). La propriété équivalente dans le profil de serveur d'applications complet est com.ibm.websphere.security.util.postParamSaveMethod.
Cookie
Cookie
Session
Session
None
None
preserveFullyQualifiedReferrerUrl boolean false Avertissement, risque de sécurité : en mettant cette propriété à true, vous exposez vos systèmes aux attaques par redirection d'URL. Cette propriété détermine s'il faut ou non préserver l'URL qualifiée complète du référent pour les redirections lorsque la connexion a lieu par formulaire. Si la valeur de cette propriété est false, l'hôte est retiré de l'URL du référent et la redirection se fait vers localhost. La propriété équivalente dans le profil de serveur d'applications complet est com.ibm.websphere.security.util.fullyQualifiedURL.
singleSignonEnabled boolean true Détermine si l'authentification unique (SSO, Single Sign-On) est activée.
ssoCookieName string LtpaToken2 Personnalise le nom de cookie SSO. En choisissant un nom du cookie autre que le nom par défaut, vous avez la possibilité de séparer logiquement l'authentification entre différents domaines SSO et de personnaliser l'authentification dans un environnement particulier. Sachez toutefois que la personnalisation du nom de cookie peut conduire à des échecs d'authentification. Par exemple, lorsqu'un navigateur se connecte à un serveur configuré avec un nom de cookie personnalisé, ce cookie est envoyé au navigateur. Mais si le navigateur se connecte ensuite à un serveur configuré avec le nom de cookie par défaut ou un autre nom de cookie personnalisé, sa demande ne peut être authentifiée par la validation du cookie entrant, car elle est accompagnée du premier cookie reçu du premier serveur. La propriété équivalente dans le profil de serveur d'applications complet est com.ibm.websphere.security.customSSOCookieName.
ssoDomainNames string   Liste de noms de domaine, séparés par une barre verticale (|), pour lesquels des cookies SSO doivent être présentés. La propriété équivalente dans le profil de serveur d'applications complet est com.ibm.ws.security.config.SingleSignonConfig.
ssoRequiresSSL boolean false Détermine si un cookie SSO est envoyé via SSL. La propriété équivalente dans le profil de serveur d'applications complet est requiresSSL.
ssoUseDomainFromURL boolean false Détermine si le nom de domaine pour l'URL de la demande doit être utilisé pour le domaine de cookie.
trackLoggedOutSSOCookies boolean false Spécifie si les jetons de connexion unique LTPA déconnectés d'un serveur doivent être suivis afin qu'ils ne puissent pas être réutilisés sur le même serveur.
useAuthenticationDataForUnprotectedResource boolean true Détermine si les données d'authentification peuvent être utilisées lors de l'accès à une ressource non protégée. La ressource non protégée peut dorénavant accéder aux données authentifiées validées auxquelles elle ne pouvait pas accéder auparavant. Cette option permet à la ressource non protégée d'appeler les méthodes getRemoteUser, isUserInRole et getUserPrincipal afin d'extraire une identité authentifiée. La propriété personnalisée équivalente dans le profil de serveur d'applications complet est com.ibm.wsspi.security.web.webAuthReq=persisting.
useOnlyCustomCookieName boolean false Indique s'il faut utiliser uniquement le nom de cookie personnalisé.
wasReqURLRedirectDomainNames string   Liste de noms de domaine, séparés par une barre verticale (|), autorisés pour la redirection de page WASReqURL. Le nom d'hôte implicite est celui figurant sur la demande de connexion dans le formulaire.
webAlwaysLogin boolean false Détermine si la méthode login() devra émettre une exception lors de l'utilisation d'une identité ayant déjà été authentifiée.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwlp_config_webAppSecurity
Nom du fichier : rwlp_config_webAppSecurity.html