Configuration d'une couche d'attribut CSIv2 entrante

Vous pouvez configurer un serveur Liberty pour demander le support de vérification d'identité pour les demandes CSIv2 entrantes.

Pourquoi et quand exécuter cette tâche

La couche attributs CSIv2 entrante d'un serveur Liberty comporte une vérification d'identité qui est désactivée par défaut. Le serveur prend en charge les vérification d'identité de type Anonyme, Nom principal, chaînes de certificats X509 et Nom distinctif depuis un serveur en amont qui fait office de client une fois la vérification d'identité activée via l'attribut identityAssertionEnabled. Vous pouvez utiliser l'attribut identityAssertionTypes pour spécifier les types de jeton pris en charge par le serveur. L'attribut trustedIdentities peut être utilisée pour indiquer l'identité des serveurs en amont de confiance qui peuvent vérifier une identité sur ce serveur.
ATTENTION :
Assurez-vous que seules les entités de confiance communiquent avec le serveur si une habilitation présumée est définie.

Procédure

  1. Ajoutez les fonctions appSecurity-2.0 et ejbRemote-3.2 dans le fichier server.xml.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    Voici un exemple de configuration par défaut où il n'est pas nécessaire de l'indiquer dans le fichier server.xml.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Facultatif : si vous devez modifier la configuration de couche attribut entrante par défaut, ajoutez un élément <orb> dans le fichier server.xml comme suit ou ajoutez l'élément attributeLayer à un élément existant. Remplacez les exemples de valeurs dans l'exemple par vos propres valeurs.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </serverPolicy.csiv2>
        </orb>
    Remarque : La valeur d'ID defaultOrb dans l'élément <orb> est prédéfinie et ne peut pas être modifiée.
  3. Définissez l'attribut trustedIdentities en remplaçant les valeurs en exemple par la valeur trustedIdentity de chacun des serveurs en amont. Le caractère barre verticale (|) doit être utilisé pour séparer les valeurs lorsqu'il y a plusieurs clients de vérification.
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="yourAssertingUpstreamServer|anotherAssertingUpstreamServer"/>
  4. Alternative : au lieu de définir une valeur nommée pour l'élément trustedIdentities dans l'étape 2, vous pouvez définir l'attribut trustedIdentities avec le caractère (*) pour indiquer que le serveur prend en charge une habilitation présumée. Avec une habilitation présumée, tout serveur en amont peut vérifier une identité et il ne doit être utilisé que lorsque les serveurs en amont peuvent être limités à un ensemble de serveur d'accréditation. Par conséquent, utilisez cette valeur avec précaution.
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="*"/>
  5. Lorsqu'un serveur en amont qui envoie une chaîne de certificats est digne de confiance, ajoutez le nom distinctif de l'émetteur de la chaîne de certificats dans l'attribut trustedIdentities. Par exemple,
        <attributeLayer identityAssertionEnabled="true" trustedIdentities="CN=localhost,O=ibm,C=us"/>
  6. Facultatif : Si vous devez changer les types de jeton de vérification d'identité pris en charge par le serveur, ajoutez l'attribut identityAssertionTypes à l'élément attributeLayer dans le fichier server.xml et spécifiez une liste de valeurs séparées par des virgules. Les valeurs valides sont ITTAnonymous, ITTPrincipalName, ITTX509CertChain et ITTDistinguishedName. Vous pouvez, par exemple, configurer le serveur pour une prise en charge de la vérification d'identité avec des chaînes de certificats X509 ou des noms distinctifs. Remplacez les exemples de valeurs dans l'exemple par vos propres valeurs.
    <orb id="defaultOrb">
        <serverPolicy.csiv2>
            <layers>
                <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/>
            </layers>
        </serverPolicy.csiv2>
    </orb>
    Remarque : L'identité du serveur en amont est obtenue des informations de sécurité que le serveur a envoyées dans la couche authentification ou la couche transport. L'identité de la couche authentification a la priorité sur l'identité de la couche transport, celle-ci n'étant utilisée que si aucune information de sécurité n'est envoyée dans la couche authentification. Pour des exemples de syntaxe et des informations sur les éléments authenticationLayer et transportLayer, voir Configuration d'une couche authentication CSIv2 entrante et Configuration d'une couche authentication CSIv2 sortante.
    Si une couche est omise, les valeurs par défaut de cette couche sont utilisées.

Résultats

Votre couche attribut CSIv2 entrante est maintenant configurée pour la vérification d'identité.

Icône indiquant le type de rubrique Rubrique Tâche

Nom du fichier : twlp_sec_inboundattributes.html