Sécurisation des applications de services Web au niveau du transport
La sécurité au niveau du transport est un mécanisme connu et souvent utilisé afin de sécuriser les communications intranet et Internet HTTP. Une sécurité définie au niveau des protocoles de transport peut être utilisée pour sécuriser les messages des services Web. La fonctionnalité de sécurité au niveau du transport est indépendante de celle qui est fournie par la sécurité WS (WS-Security) au niveau des messages ou par l'authentification HTTP de base.
Avant de commencer
- Utilisez la sécurité au niveau des message lorsque la protection d'une application de services Web est essentielle. L'authentification de base HTTP utilise un nom d'utilisateur et un mot de passe pour authentifier un client de services sur un noeud final sécurisé. L'authentification de base est codée dans la requête HTTP qui contient le message SOAP. Lorsque le
serveur d'applications reçoit la requête HTTP, le nom d'utilisateur et le mot de passe sont
extraits et vérifiés à l'aide du mécanisme d'authentification spécifique au serveur.Important : Avec la sécurité au niveau des messages, si vous n'utilisez pas le port SSL (Secure Sockets Layer) de communications sortantes par défaut 443, vérifiez que le noeud final de communication sortante dynamique pour SSL est correctement configuré pour votre configuration.
- Utilisez la sécurité au niveau du transport pour activer l'authentification de base. Ce type de sécurité peut être activée ou désactivée indépendamment de celle au niveau des messages. Il fournit une sécurité minimale. Cette configuration est utile lorsqu'un service Web est client d'un autre.
- Utilisez SSL pour bénéficier de la confidentialité, de l'intégrité et de l'authentification HTTP de base pour l'authentification.
- Utilisez SSL pour bénéficier de la confidentialité, de l'intégrité et de l'authentification WS-Security pour l'authentification. Par exemple, un jeton de nom d'utilisateur ou un jeton LTPA peut être utilisé pour l'authentification.
- Utilisez WS-Security pour la confidentialité, l'intégrité et l'authentification.
Pourquoi et quand exécuter cette tâche
Une sécurité définie au niveau des protocoles de transport peut être utilisée pour sécuriser les messages des services Web. Toutefois, la fonctionnalité de sécurité au niveau du transport est indépendante de celle qui est fournie par la sécurité WS ou par l'authentification HTTP de base.
SSL et TLS fournissent des fonctions de sécurité, incluant l'authentification, la protection des données et la prise en charge de jetons de chiffrement pour les connexions HTTP sécurisées. Pour une exécution avec HTTPS, l'adresse du port du service doit être au format https://. L'intégralité et la confidentialité des données de transport, incluant les messages SOAP et l'authentification de base HTTP, sont confirmées lorsque vous utilisez SSL et TLS.
Les applications
de services Web peuvent également utiliser des codes de chiffrement approuvés par le FIPS
(Federal Information Processing Standard) pour des connexions TLS sécurisées.
WebSphere Application Server utilise le package JSSE (Java™ Secure Sockets Extension) afin de prendre en charge SSL et TLS.
Cette tâche permet de configurer la sécurité au niveau du transport sortant HTTP pour un service Web qui joue le rôle d'un client pour un autre serveur de services Web. Vous pouvez également configurer la sécurité à l'aide d'un outil d'assemblage ou à l'aide de propriétés Java. Si vous ne configurez pas la sécurité au niveau du transport sortant HTTP, l'exécution des services Web est différée au moment de l'exécution de la sécurité Java EE) (Java Platform, Enterprise Edition) dans le produit WebSphere pour une configuration SSL (Secure Sockets Layer) effective. En l'absence de configuration SSL avec exécution de la sécurité Java EE dans le produit WebSphere, les propriétés système JSSE (Java Secure Socket Extension) sont utilisées.
Vous pouvez définir des propriétés de transport HTTP complémentaires pour des applications de services Web. Utilisez ces propriétés pour le pool associé aux connexions sortantes HTTP, de configurer l'encodage du contenu du message HTTP, d'activer la connexion persistante HTTP et de renvoyer la requête HTTP une fois le délai d'expiration écoulé.