Configuration du demandeur de sécurité de services Web
Vous pouvez exécuter un service Web en mode avec authentification ou sans authentification. Si vous voulez restreindre l'accès aux ressources en fonction de l'identité d'un utilisateur, le service Web doit s'exécuter en mode avec authentification. Lorsqu'un service Web est exécuté en mode avec authentification, l'identité de l'utilisateur est placée sur l'unité d'exécution sur laquelle s'exécute le service Web.
- Authentification HTTP de base
- L'identité provenant de l'en-tête HTTP est placée sur l'unité d'exécution par le conteneur Web.
- Configuration du demandeur de sécurité de services Web
- L'identité de l'un des jetons figurant dans l'en-tête de sécurité SOAP est placée sur l'unité d'exécution par l'environnement d'exécution de la sécurité de services Web.
La spécification de la sécurité de services Web permet la transmission de plusieurs jetons dans l'en-tête de sécurité d'un message SOAP. Lorsqu'un service Web doit s'exécuter en mode avec authentification en utilisant la sécurité de services Web, un mécanisme doit indiquer à l'environnement d'exécution de la sécurité de services Web le jeton à utiliser pour l'identité. Ce mécanisme est appelé configuration du demandeur.
La configuration du demandeur de sécurité de services Web est spécifiée dans le fichier server.xml avec l'élément <callerToken>.
<wsSecurityProvider ...>
...
<callerToken name="UsernameToken" />
...
</wsSecurityProvider>
- UsernameToken
- X509Token
- SamlToken
Si vous configurez un jeton X509 comme jeton de demandeur, assurez-vous qu'un seul certificat X509 de client peut être résolu depuis l'en-tête de sécurité. Par exemple, assurez-vous qu'un seul certificat client est résolu à partir du jeton de l'initiateur dans une liaison asymétrique (AsymmetricBinding) ou qu'un seul certificat client est résolu à partir d'un jeton de validation.
Si vous configurez une valeur UsernameToken comme jeton de demandeur, l'en-tête de sécurité ne doit contenir qu'une seule valeur UsernameToken.
Si vous configurez un jeton Saml comme jeton de demandeur, l'en-tête de sécurité ne doit contenir qu'un seul jeton SAML. Il existe des options de configuration supplémentaires, telles que userIdentifier, groupIdentifier ou realmIdentifier, qui permettent de spécifier un attribut SAML qui peut être utilisé comme un principal, un groupe ou un domaine lorsqu'un sujet authentifié est créé. Pour en savoir plus sur la configuration SAML callerToken facultative, voir Création d'une configuration d'appelant SAML WS-Security dans la documentation du produit.