Sécurité de Web Services Atomic Transaction
Web Services Atomic Transaction (WS-AT) définit ses propres services Web internes qui sont utilisés dans le cadre du protocole. Ces services Web internes sont appelés lors du lancement de la transaction et lors du traitement de la validation ou de l'annulation. Pendant ce temps, WS-AT nécessite une communication bidirectionnelle. WS-AT nécessite un proxy DMZ pour permettre aux serveurs Liberty de fonctionner dans un environnement de pare-feu typique, ainsi que des noeuds finaux HTTPS pour obtenir l'autorisation. Le contenu suivant explique comment configurer le proxy et SSL (Security Socket Layer) pour WS-AT dans Liberty.
Proxy de pare-feu
Lorsque des serveurs Liberty se trouvent dans un environnement de pare-feu typique, ils ne peuvent pas communiquer entre eux via des pare-feux. Dans cette situation, les serveurs nécessitent un proxy DMZ pour pouvoir fonctionner normalement. Vous pouvez définir des relais de noeud final en configurant le fichier server.xml.
- Configurez le plug-in IHS pour qu'il réachemine les demandes vers les serveurs Liberty. Pour plus d'informations, voir Configuration d'un plug-in de serveur Web pour Liberty.
- Pour IHS 1, configurez le plug-in IHS 1 de sorte qu'il réachemine les demandes vers Liberty A et ajoutez <Uri Name="/ibm/wsatservice/*" /> dans l'élément <UriGroup>.
- Pour IHS 2, configurez le plug-in IHS 2 de sorte qu'il réachemine les demandes vers Liberty B et ajoutez <Uri Name="/ibm/wsatservice/*" /> dans l'élément <UriGroup>.
- Ajoutez le paramètre externalURLPrefix au fichier server.xml dans Liberty :
- Dans Liberty A, affectez au paramètre externalURLPrefix la valeur http://proxyserver1:80 pour IHS 1 comme suit :
<wsAtomicTransaction externalURLPrefix="http://proxyserver1:80"/>
- Dans Liberty B, affectez au paramètre externalURLPrefix la valeur http://proxyserver2:81 pour IHS comme suit :
<wsAtomicTransaction externalURLPrefix="http://proxyserver2:81"/>
- Dans Liberty A, affectez au paramètre externalURLPrefix la valeur http://proxyserver1:80 pour IHS 1 comme suit :

SSL (Security Socket Layer)
Par défaut, les serveurs Liberty communiquent sans SSL. Si la sécurité WS-AT est requise et les informations de sécurité réacheminées vers un port sécurisé, vous devez ajouter la fonction Liberty appSecurity-2.0 au fichier server.xml. Vous pouvez également activer SSL dans Liberty en suivant les instructions décrites dans Sécurisation de Liberty et de ses applications.
<wsAtomicTransaction SSLEnabled="false" SSLRef="defaultSSLConfig" clientAuth="false"/>
Où :- SSLEnabled
- Indique si SSL est activé ou non pour WS-AT. Les valeurs valides sont true et false. La valeur par défaut est false. Affectez la valeur true pour activer SSL.
- SSLRef
- Définit la configuration SSL dans le fichier server.xml. WS-AT a besoin de cette configuration SSL pour communiquer.
- clientAuth
- Indique si l'authentification de client est activée ou non pour WS-AT. Les valeurs valides sont true et false. La valeur par défaut est false. Prenez soin d'affecter la valeur true au paramètre clientAuthenticationSupported dans la configuration SSL avant d'affecter la valeur true au paramètre clientAuth pour activer l'authentification de client.
<wsAtomicTransaction SSLEnabled="false" SSLRef="defaultSSLConfig" externalURLPrefix="" clientAuth="false"/>