Il existe deux différents aspects de configuration d'une application compatible avec la messagerie Web : la protection des URI entrants et la configuration de l'authentification du client, ainsi que l'autorisation d'accès au bus d'intégration de services.
En fonction du type d'application pour la messagerie Web que vous utilisez, si vous le souhaitez, vous pouvez limiter l'accès à un URI de messagerie Web. Vous pouvez assurer la protection des URI de messagerie Web, grâce à l'utilisation de méthodes standard relatives à la sécurité de l'application Web. Lorsqu'un URI de messagerie Web est protégé,
la demande d'établissement de connexion Bayeux est authentifiée et autorisée à utiliser des méthodes standard de sécurité de l'application Web. Consultez la la rubrique suivante :
Applications de la sécurisation pendant l'assemblage et le déploiement pour plus d'informations. Il paraît courant d'activer la sécurité de transport,
lorsque la sécurité de l'application Web est activée. Le service de messagerie Web distribue des chaînes de transport du conteneur Web. Ainsi, lorsque vous activez le service de messagerie Web sur une chaîne de transport sécurisée, la sécurité en matière de communication, pour toutes les opérations du protocole Bayeux est assurée.
Lors de la configuration d'une application compatible avec la messagerie Web, le système de sécurité étant activé, il se révèle important de comprendre que les exigences en matière de sécurité doivent être étendues vers les interactions au niveau du bus d'intégration de services (à moins qu'une raison particulière ne s'y oppose). Lorsque vous planifiez votre modèle de sécurité, vous devez prendre en considération chacun des aspects de sécurité relative au bus d'intégration de services, décrits ci-après. Consultez la rubrique suivante : Initiation à la sécurité relative à l'intégration de services pour plus d'informations. Lorsque les clients de la messagerie Web se connectent à un bus d'intégration de services sécurisé, chaque client doit être authentifié et autorisé afin de pouvoir accéder aux ressources relatives au bus d'intégration de services.
Un client de la messagerie Web doit fournir des justificatifs afin de s'authentifier auprès d'un bus d'intégration de services sécurisé. Il existe deux options relatives aux méthodes de procuration de justificatifs : alias d'authentification J2C (Java 2 Connector) ou justificatifs Web. La meilleure méthode à utiliser dépend des besoins de l'application. Les options de configuration authType et authAlias de la messagerie Web définissent le type d'authentification à utiliser. Reportez-vous à la rubrique Configuration de bus d'intégration de services pour des informations détaillées relatives à la configuration.
Alias d'authentification J2C | Un alias d'authentification J2C constitue une méthode permettant aux clients de la messagerie Web de s'authentifier auprès du bus d'intégration de services. Un alias d'authentification doit être utilisé dans les situations suivantes :
|
---|---|
Justificatifs Web | Lorsque la sécurité Web est activée, les justificatifs Web peuvent être utilisés en tant qu'informations d'authentification, afin de se connecter à un bus d'intégration de services sécurisé. L'authentification de base ainsi que l'authentification LTPA à signature unique sur les cookies,constituent les deux types de justificatifs Web pris en charge. Vous devez définir votre fichier de configuration de messagerie Web afin de pouvoir utiliser un authType de type basique ou à signature unique, dans les conditions suivantes :
|
Le bus d'intégration de services fournit un ensemble de contrôles de sécurité permettant de valider l'autorisation sous forme de granularités variées. Les niveaux d'autorisation suivants doivent être adaptés à n'importe quelles données d'authentification spécifiées.
Autorisation d'accès au connecteur de bus | Le premier niveau d'autorisation permettant l'accès au bus d'intégration de services, repose dans la possibilité de se connecter au bus ou dans l'autorisation d'accès au connecteur de bus. Comme c'est le cas pour les autres autorisations, il s'avère possible d'accorder cet accès aux utilisateurs individuels ou à un groupe d'utilisateurs. Les détails relatifs à la configuration d'autorisation concernant le rôle du connecteur de bus, sont disponibles dans la rubrique Administration des rôles de connecteur de bus. |
---|---|
Sécurité (de destination) de l'espace de rubrique | Une fois que l'autorisation d'accès d'une application au connecteur de bus a été vérifiée,
l'étape suivante à suivre consiste à accéder à une destination.
Dans le cas des applications Bayeux, cette étape va devenir la(les) destination(s) d'espace
de rubrique spécifiée dans la configuration relative à Bayeux ou par le nom de canal. Chaque destination comprend un ensemble de rôles individuels qui lui correspond et qui vérifie le type exact d'action pouvant être mené par une application spécifique ou un utilisateur. Pour les applications Bayeux, voici les rôles les mieux adaptés : celui du récepteur permettant à l'application de créer des abonnements et de recevoir des événements, ainsi que celui de l'expéditeur qui consiste à publier des événements vers l'espace de rubrique. Pour obtenir des informations détaillées sur la configuration de ces rôles d'autorisation relatifs à un espace de rubrique donné, reportez-vous à la rubrique relative à la sécurité de destination. |
Sécurité de la rubrique | Vous pouvez également configurer des contrôles d'accès à granularité fine
sur des rubriques individuelles ou des groupes de rubriques, à l'aide d'un espace de rubrique. Cela signifie qu'une application peut se trouver dans l'incapacité de voir les événements publiés sur d'autres rubriques, par une application différente (même si ces événements sont publiés dans le même espace de rubrique). Pour obtenir des informations détaillées relatives à la configuration du niveau de sécurité de la rubrique, reportez-vous aux rubriques suivantes : |