Liberty :Sécurité

La sécurité Liberty protège les ressources Web conformément à la spécification Servlet 3.0 et les ressources EJB conformément à la spécification ejbLite 3.1. Elle protège également les connexions JMX lorsque vous utilisez le connecteur REST.

Le diagramme suivant montre comment s'enchaînent les activités dans un processus de sécurité type mettant en jeu l'accès à une ressource Web protégée. Pour que le processus de sécurité fonctionne, vous devez configurer les fonctions de sécurité appropriées et définir les configurations qui sont requises pour l'authentification et l'autorisation.

Figure 1. Flux de sécurité type pour l'accès à une ressource Web Le collaborateur de sécurité Web utilise les services d'authentification et d'autorisation respectivement pour authentifier le demandeur et pour autoriser son accès à la ressource Web dans le conteneur Web.
  1. Un client HTTP demande une ressource Web qui se trouve dans le conteneur Web.
  2. Le conteneur Web délègue le contrôle de sécurité au collaborateur de sécurité Web.
  3. Le collaborateur de sécurité Web demande à l'utilisateur d'entrer ses données d'identification si elles n'ont pas été indiquées, et utilise le service d'authentification pour authentifier l'utilisateur.
  4. Le service d'authentification vérifie l'identité de l'utilisateur et, s'il l'authentifie comme utilisateur valide, il crée et renvoie le sujet. Sinon, il émet une exception signalant l'échec de l'authentification.
  5. Le collaborateur de sécurité Web fait appel au service d'autorisation pour lui demander de contrôler les autorisations de l'utilisateur.
  6. Le service d'autorisation renvoie le résultat de son contrôle au collaborateur de sécurité Web.
  7. Le collaborateur de sécurité Web renvoie le résultat du contrôle de sécurité déterminant si l'utilisateur est autorisé ou non.
  8. Selon le résultat, le conteneur Web accède ou rejette la demande de ressource.

Sécurité rapide

Avec l'élément quickStartSecurity, vous pouvez configurer un environnement de sécurité comportant un seul utilisateur dans Liberty. Voir Liberty : Présentation rapide de la sécurité pour des détails sur l'enchaînement d'activités de sécurité lorsque vous utilisez l'élément quickStartSecurity, et Mise en route de la sécurité dans Liberty pour un exemple de tâche.

Authentification

L'authentification confirme l'identité d'un utilisateur. La forme la plus courante de mécanisme d'authentification est l'emploi d'un nom d'utilisateur couplé à un mot de passe. On retrouve ce principe dans l'authentification de base ainsi que dans la connexion par formulaire pour les applications Web. Lorsqu'un utilisateur est authentifié, la source d'une demande est représentée sous forme d'objet Subject à l'exécution. Ce processus implique d'effectuer un contrôle d'accès lorsque l'utilisateur demande à accéder à une ressource, contrôle qui sera basé sur les règles d'autorisation configurées pour la ressource. Voir Liberty : Authentification pour une description plus complète de ces concepts, et Authentification des utilisateurs dans Liberty pour des procédures détaillées.

Autorisation

L'autorisation détermine si un utilisateur peut avoir accès à des ressources dans le système. Le modèle Java™ EE utilise des sujets, des ressources et des rôles pour déterminer ce qui doit être autorisé et ce qui ne doit pas l'être. Ce processus implique de vérifier les données d'identification de l'utilisateur, comme l'ID et le mot de passe, les certificats et les jetons, et de créer un sujet contenant des données sur l'utilisateur authentifié. Voir Liberty : Autorisation pour une description plus complète de ces concepts, et Autorisation d'accès aux ressources dans Liberty pour des procédures détaillées.

SSL (Secure Socket Layer)

SSL assure la sécurité des échanges de données pendant leur transport. Voir Activation de la communication SSL dans Liberty pour des procédures détaillées.

SSO (Single Sign-On, ou connexion unique)

SSO permet l'accès aux applications sans qu'il ne soit nécessaire de se connecter plusieurs fois. Voir les concepts de SSO pour plus de détails et Personnalisation de la configuration de la connexion unique (SSO) avec des cookies LTPA sous Liberty pour une procédure détaillée.

Propriétés liées à la sécurité Web

Parmi les propriétés de configuration, nombre d'entre elles s'inscrivent dans le cadre de la sécurité Web des applications. C'est notamment le cas de SSO et de l'authentification par certificat client. Voir Personnalisation de la configuration de la connexion unique (SSO) avec des cookies LTPA sous Liberty et Web Service Security pour les attributs disponibles et Configuration des propriétés liées à la sécurité Web dans Liberty pour des exemples.

API publiques de sécurité

Liberty contient des API publiques que vous pouvez utiliser pour implémenter des fonctions de sécurité. Les API de sécurité publiques dans Liberty constituent un sous-ensemble des API publiques de sécurité du WebSphere Application Server Traditional. Les principales classes sont WSSecurityHelper, WSSubject et RegistryHelper. Ces classes contiennent chacune un sous-ensemble des méthodes disponibles dans les versions traditionnelles de WebSphere Application Server. Il y a également une nouvelle classe, WebSecurityHelper. Voir Liberty : API publiques de sécurité.

La documentation d'API Java de chaque API Liberty est disponible dans un fichier .zip séparé des sous-répertoires javadoc du répertoire ${wlp.install.dir}/dev.

Voir Développement d'extensions à l'infrastructure de sécurité de Liberty pour des exemples.

Sécurité de gestion

La sécurité de gestion permet de gérer Liberty via un client JMX distant. Pour savoir comment sécuriser les connexions distantes via le connecteur REST, voir Connexion à Liberty à l'aide de JMX. Vous pouvez aussi développer votre propre application client JMX comme décrit dans Développement d'un client Java JMX pour Liberty.

alias d'authentification

Les alias des données d'authentification fournissent le support de sécurité pour la connectivité à la base de données. Voir Configuration des alias d'authentification pour Liberty.

Exemples de configuration

Le site Web WASdev.net propose plusieurs exemples de configuration de sécurité pour votre référence lorsque vous configurez la sécurité pour vos applications dans Liberty.

Différences dans les capacités de sécurité entre profil Liberty et profil complet

Cette rubrique décrit les différences principales de la capacité de sécurité entre le WebSphere Application Server Traditional et Liberty. Voir Différences de configuration entre WebSphere Application Server Traditional et Liberty : sécurité.

Configuration du protocole Lightweight Directory Access Protocol (LDAP)

Après avoir sélectionné l'élément de registre d'utilisateurs LDAP à ajouter à la configuration du serveur, le panneau des détails de registre d'utilisateurs LDAP affiche une liste des types de serveur LDAP pris en charge. Si vous sélectionnez un type de serveur LDAP pris en charge, les filtres LDAP associés au type de serveur LDAP sélectionné ne seront pas automatiquement pré-remplis.

Chacun des types de serveur LDAP pris en charge dispose par défaut d'un ensemble de filtres définis. Après l'ajout de l'élément Registre utilisateur LDAP et du type de serveur, les filtres LDAP associés peuvent être configurés en sélectionnant la configuration Registre d'utilisateurs LDAP et ajoutant le filtre LDAP requis :
  • Filtres LDAP Active Directory
  • Filtres LDAP personnalisés
  • Filtres LDAP Domino
  • Filtres LDAP eDirectory
  • Filtres LDAP IBM® Directory Server
  • Filtres LDAP iPlanet
  • Filtres LDAP Netscape
  • Filtres LDAP SecureWay
La sélection de filtres LDAP affiche les valeurs par défaut des types de filtres :
  • Filtre utilisateur
  • Filtre groupe
  • Mappe d'ID utilisateur
  • Mappe d'ID groupe
  • Mappe d'ID membre de groupe
Si les filtres par défaut sont utilisés, le fichier server.xml n'est pas mis à jour avec les informations de filtre. Si des filtres sont modifiés, seuls les types de filtre modifiés seront mis à jour dans server.xml.
Remarque : Si vous n'indiquez ni ne sélectionnez aucun ID de référence via le bouton Parcourir, les filtres par défaut associés au type de serveur LDAP sélectionné seront utilisés.

Sinon, vous pouvez ajouter un filtre LDAP à la configuration du serveur. Un ID doit être spécifié pour associer la référence à cette configuration de filtre spécifique, afin de l'associer à la configuration du registre d'utilisateurs LDAP. Si cette méthode de configuration des filtres LDAP est utilisée, l'ID de référence sera ensuite sélectionné dans le panneau des détails du registre d'utilisateurs LDAP (situé en utilisant le bouton Parcourir sous le type de filtre LDAP correspondant).

Si vous utilisez les outils de développement Eclipse pour configurer LDAP, vérifiez la configuration sauvegardée dans les exemples dans wlp/templates/config/ldapRegistry.xml.

Pour plus d'informations, voir Configuration de registres d'utilisateurs LDAP dans Liberty.

Traitement des incidents

Utilisez les informations d'identification et de résolution des incidents pour résoudre les problèmes liés à la sécurité lorsque vous utilisez Liberty. Voir Dépannage de la sécurité et LDAP.

Pour plateformes réparties

Outils

Configurez la sécurité avec les outils de développement d'Eclipse pour Liberty. Voir Edition de la configuration Liberty à l'aide des outils de développement. Des informations spécifiques sur ces outils et la configuration de sécurité sont disponibles dans les rubriques Configuration d'un intercepteur de relations de confiance sous Liberty avec les outils de développement et Configuration du service JAAS sous Liberty avec les outils de développement.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwlp_sec
Nom du fichier : cwlp_sec.html