Sécurité de Web Services Atomic Transaction

Web Services Atomic Transaction (WS-AT) définit ses propres services Web internes qui sont utilisés dans le cadre du protocole. Ces services Web internes sont appelés lors du lancement de la transaction et lors du traitement de la validation ou de l'annulation. Pendant ce temps, WS-AT nécessite une communication bidirectionnelle. WS-AT nécessite un proxy DMZ pour permettre aux serveurs Liberty de fonctionner dans un environnement de pare-feu typique, ainsi que des noeuds finaux HTTPS pour obtenir l'autorisation. Le contenu suivant explique comment configurer le proxy et SSL (Security Socket Layer) pour WS-AT dans Liberty.

Proxy de pare-feu

Lorsque des serveurs Liberty se trouvent dans un environnement de pare-feu typique, ils ne peuvent pas communiquer entre eux via des pare-feux. Dans cette situation, les serveurs nécessitent un proxy DMZ pour pouvoir fonctionner normalement. Vous pouvez définir des relais de noeud final en configurant le fichier server.xml.

Par exemple, définissez le serveur IBM HTTP Server (IHS) en tant que proxy DMZ. Dans Figure 1, pour permettre la communication entre deux serveurs Liberty via IHS, procédez comme suit :
  1. Configurez le plug-in IHS pour qu'il réachemine les demandes vers les serveurs Liberty. Pour plus d'informations, voir Configuration d'un plug-in de serveur Web pour Liberty.
    • Pour IHS 1, configurez le plug-in IHS 1 de sorte qu'il réachemine les demandes vers Liberty A et ajoutez <Uri Name="/ibm/wsatservice/*" /> dans l'élément <UriGroup>.
    • Pour IHS 2, configurez le plug-in IHS 2 de sorte qu'il réachemine les demandes vers Liberty B et ajoutez <Uri Name="/ibm/wsatservice/*" /> dans l'élément <UriGroup>.
  2. Ajoutez le paramètre externalURLPrefix au fichier server.xml dans Liberty :
    • Dans Liberty A, affectez au paramètre externalURLPrefix la valeur http://proxyserver1:80 pour IHS 1 comme suit :
      <wsAtomicTransaction externalURLPrefix="http://proxyserver1:80"/> 
    • Dans Liberty B, affectez au paramètre externalURLPrefix la valeur http://proxyserver2:81 pour IHS comme suit :
      <wsAtomicTransaction externalURLPrefix="http://proxyserver2:81"/> 
Figure 1. Communication entre deux serveurs Liberty via IHS
Lorsqu'un pare-feu existe entre Liberty A et Liberty B, Liberty A peut envoyer EPRb1 à Liberty B via IHS 1, mais Liberty B reçoit EPRb au lieu de EPRb1, et inversement.

SSL (Security Socket Layer)

Par défaut, les serveurs Liberty communiquent sans SSL. Si la sécurité WS-AT est requise et les informations de sécurité réacheminées vers un port sécurisé, vous devez ajouter la fonction Liberty appSecurity-2.0 au fichier server.xml. Vous pouvez également activer SSL dans Liberty en suivant les instructions décrites dans Sécurisation de Liberty et de ses applications.

Vous pouvez configurer SSL pour la sécurité WS-AT comme suit :
<wsAtomicTransaction SSLEnabled="false" SSLRef="defaultSSLConfig" clientAuth="false"/>
Où :
SSLEnabled
Indique si SSL est activé ou non pour WS-AT. Les valeurs valides sont true et false. La valeur par défaut est false. Affectez la valeur true pour activer SSL.
SSLRef
Définit la configuration SSL dans le fichier server.xml. WS-AT a besoin de cette configuration SSL pour communiquer.
clientAuth
Indique si l'authentification de client est activée ou non pour WS-AT. Les valeurs valides sont true et false. La valeur par défaut est false. Prenez soin d'affecter la valeur true au paramètre clientAuthenticationSupported dans la configuration SSL avant d'affecter la valeur true au paramètre clientAuth pour activer l'authentification de client.
Important : La configuration SSL s'applique uniquement au niveau du serveur Liberty.
Conseil : Dans le fragment de code ci-après, la valeur par défaut de SSLEnabled est false. Si vous souhaitez activer SSL et le proxy, affectez la valeur true au paramètre SSLEnabled et affectez au paramètre externalURLPrefix une adresse de proxy commençant par https://.
<wsAtomicTransaction SSLEnabled="false" SSLRef="defaultSSLConfig" externalURLPrefix="" clientAuth="false"/> 

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwlp_dep_wsat_sec_lib
Nom du fichier : rwlp_dep_wsat_sec_lib.html