Avec les services Web, vous pouvez signer et/ou chiffrer des parties de
messages en fonction de la qualité de service définie pour un ensemble de
règles. Ces actions sont possibles en définissant les informations de liaison dans
une liaison d'association personnalisée.
Avant de commencer
Avant de commencer cette tâche, associez un ensemble de règles à un
artefact de service comme une application, un service ou un noeud final, puis créez
une liaison d'association personnalisée. Voir la documentation sur la création de
liaisons personnalisées pour les ensembles de règles. L'ensemble de règles lié
à l'artefact de service doit inclure une règle WS-Security signalant les parties des
messages à signer ou à chiffrer. Voir la documentation sur la sécurisation de
parties des messages à l'aide de la console d'administration.
Pourquoi et quand exécuter cette tâche
Pour signer et/ou chiffrer des parties de messages en fonction de la
qualité de service définie pour un ensemble de règles, procédez comme suit :
Procédure
- Ouvrez la console d'administration.
- Pour signer et chiffrer des parties de messages pour un fournisseur de
services, cliquez sur Applications > Applications d'entreprise >
nom_application > Liaisons et ensembles de règles du
fournisseur de services. Pour signer et chiffrer des parties de messages pour un
client de services, cliquez sur Applications > Applications d'entreprise > nom_application > Liaisons et ensembles de règles du
client de services.
- Cliquez sur le lien du nom de liaison pour l'artefact de service avec une
liaison d'association personnalisée.
- Si la liaison ne contient pas de liaisons d'ensemble de règles WS-Security,
cliquez sur Ajouter et sélectionnez WS-Security dans la liste.
- Cliquez sur les liaisons d'ensemble de règles WS-Security.
- Cliquez sur Authentification et protection. Le panneau qui s'ouvre contient les quatre tableaux suivants :
- Jetons de protection : indique les jetons définis pour les règles de signature
et de chiffrement symétriques et asymétriques dans l'ensemble de règles.
- Jetons d'authentification : indique les jetons définis pour les règles de
jeton de demande et de réponse.
- Protection par chiffrement et signature du message de demande : indique
les parties des messages définies dans la section Protection des parties de message de demande
pour l'ensemble de règles.
- Protection par chiffrement et signature du message de réponse : indique
les parties des messages définies dans la section Protection des parties de
message de réponse pour l'ensemble de règles.
Au départ, chaque tableau présente des informations générées à partir de
l'ensemble de règles lié à l'artefact de service.
Les objets de configuration
possibles en fonction de l'ensemble de règles sont affichés.
La colonne Etat
indique si l'objet est actuellement configuré dans la liaison d'association
personnalisée.
- Si les jetons de protection ont l'état Non configuré, créez-les en
cliquant sur le nom par défaut et en vérifiant les valeurs par défaut. Cliquez sur OK.
- [Facultatif] Si vous utilisez des jetons de protection X.509, vous devez
configurer les fichiers de clés et les clés à employer pour signer, vérifier,
chiffrer et déchiffrer des parties de messages. Vous devez éventuellement
configurer aussi les fichiers de clés et les clés lorsque vous employez des jetons
de protection personnalisés, selon leurs exigences. Lorsque vous utilisez un jeton de contexte de sécurité pour la protection
(conversation sécurisée), il est inutile de configurer des fichiers de clés ou des
clés. Si vous devez configurer les fichiers de clés et les clés, procédez comme suit :
- Cliquez sur le lien du nom de jeton.
- Cliquez sur le lien Gestionnaire d'appel sous Liaisons
supplémentaires. Si ce lien n'est pas disponible, cliquez sur Appliquer, puis
sur le lien.
- Utilisez un fichier de clés prédéfini ou personnalisé.
Pour utiliser un
fichier de clés prédéfini, sélectionnez-le dans la liste. Pour utiliser un fichier
de clés personnalisé, sélectionnez Personnaliser dans la liste et cliquez sur
le lien Configuration du fichier de clés personnalisée pour définir la configuration.
- Cliquez sur OK.
- Cliquez sur le nom de la référence aux parties du message de demande ou de
réponse à signer ou à chiffrer. La colonne Protection indique si la partie du
message est signée ou chiffrée en fonction de l'ensemble de règles.
- Indiquez un nom pour la partie du message.
- Pour les parties chiffrées, sélectionnez le type de chiffrement dans
Utilisation des références aux informations sur la clé. Pour un chiffrement asymétrique ou X.509, sélectionnez Chiffrement des clés. Pour un chiffrement symétrique ou une conversation sécurisée, sélectionnez Chiffrement des données.
- [Facultatif] Pour les parties chiffrées, sélectionnez les options Inclure
l'horodatage ou Inclure nonce afin d'inclure un horodatage ou nonce dans
la partie chiffrée du message. Vous pouvez inclure l'une de ces options ou les deux dans la partie chiffrée
du message.
- Pour les parties signées, indiquez une ou plusieurs références à des parties du
message.
Sélectionnez une référence dans la colonne Disponible et cliquez sur
Ajouter.
- [Facultatif] Pour les parties signées, vous pouvez aussi décider d'ajouter un
horodatage ou nonce à la partie signée du message. Sélectionnez une référence à
une partie du message dans la colonne Affecté et cliquez sur Modifier. Sélectionnez
les options Inclure l'horodatage ou Inclure nonce pour inclure un
horodatage ou nonce dans la partie signée du message. Vous pouvez sélectionner l'une de ces options ou les deux dans la partie
signée du message.
- Si aucune entrée d'informations de clé n'est disponible, créez-en une comme
suit :
- Cliquez sur Nouveau.
- Indiquez un nom.
- Sélectionnez un jeton de protection dans la liste Générateur de jetons ou Nom
du destinataire du jeton.
- Cliquez sur OK.
- Sélectionnez une entrée d'informations de clé dans la liste Disponible
et cliquez sur Ajouter.
- [Facultatif] Indiquez si besoin est des propriétés personnalisées.
- Pour utiliser MTOM (Message Transmission Optimization Mechanism) pour le texte
du code de chiffrement des données chiffrées, ajoutez la propriété personnalisée
com.ibm.wsspi.wssecurity.enc.MTOM.Optimize avec la valeur true aux
parties chiffrées sortantes pour les demandes client et les réponses serveur.
- Pour utiliser des en-têtes de chiffrement comme décrit dans la
spécification WS-Security 1.0 au lieu du support d'en-tête chiffré décrit dans
WS-Security 1.1, ajoutez la
propriété personnalisée com.ibm.wsspi.wssecurity.encryptedHeader.generate.WSS1.0
avec la valeur true aux parties chiffrées sortantes pour les
demandes client et les réponses serveur.
Pour un comportement de Web Services Security
version 1.1 équivalent à WebSphere
Application Server versions antérieures à la version 7.0, attribuez la valeur true à la propriété com.ibm.wsspi.wssecurity.encryptedHeader.generate.WSS1.1.pre.V7
sur l'élément <encryptionInfo> dans la liaison. Lorsque cette propriété est spécifiée, l'élément <EncryptedHeader> inclut un paramètre wsu:Id et l'élément <EncryptedData> omet le paramètre ID. Cette propriété ne doit être utilisée que si la compatibilité avec Basic Security Profile 1.1 n'est pas requise.
- Cliquez sur OK.
- Cliquez sur Sauvegarder pour sauvegarder les modifications apportées à la
configuration principale.
Résultats
Au terme de cette tâche, les parties du message sont signées et/ou
chiffrées, selon la configuration employée pour communiquer avec l'artefact de
service.
Exemple
Vous avez une application
app1 avec l'ensemble de règles lié RAMP par défaut et une liaison d'association personnalisée
myBinding, et vous souhaitez signer et chiffrer les parties du
message.
- Cliquez sur l'application app1 dans la collection
Applications > Applications d'entreprise.
- Cliquez sur le lien Liaisons et ensembles de règles du fournisseur de
services ou Liaisons et ensembles de règles du client de
services.
- Cliquez sur le lien myBinding.
- [Facultatif] Si WS-Security n'apparaît pas, sélectionnez Ajouter > WS-Security.
- Cliquez sur le lien WS-Security.
- Cliquez sur le lien Authentification et protection.
- Dans le tableau Jetons de protection, cliquez sur chacun des quatre liens puis
sur OK dans le panneau qui s'affiche. Chaque entrée apparaît alors comme
Configuré dans la colonne Etat.
- Dans le tableau Protection par chiffrement et signature du message de demande,
cliquez sur request:app_encparts. Entrez le nom requestEncParts.
- Cliquez sur Nouveau dans Informations des clés. Entrez
le nom requestEncKeyInfo.
- Sélectionnez SymmetricBindingRecipientEncryptionToken et cliquez sur OK.
- Sélectionnez requestEncKeyinfo dans la liste Disponible et
cliquez sur Ajouter.
Cliquez sur OK.
- Dans le tableau Protection par chiffrement et signature du message de demande,
cliquez sur request:app_signparts.
- Entrez le nom requestSignParts.
- Cliquez sur Nouveau dans Informations des clés. Entrez le nom requestSignKeyInfo.
- Sélectionnez SymmetricBindingInitiatorSignatureToken et cliquez sur OK.
- Sélectionnez requestSignKeyinfo dans la liste Disponible et cliquez sur
Ajouter.
Cliquez sur OK.
- Répétez les étapes 8 à 16 pour les liens dans le tableau Protection par
chiffrement et signature du message de demande.
- Cliquez sur Sauvegarder pour sauvegarder les modifications apportées à la
configuration principale.
Que faire ensuite
Démarrer l'application.