Création d'une connexion unique pour les requêtes HTTP à l'aide de l'authentification Web SPNEGO
La création de connexions uniques pour les requêtes HTTP utilisant l'authentification Web SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour WebSphere Application Server requiert l'exécution de fonctions distinctes mais liées. Lorsque ces fonctions sont exécutées, les utilisateurs HTTP peuvent se connecter et s'authentifier sur le contrôleur de domaine Microsoft une seule fois depuis leur bureau et recevoir une authentification automatique WebSphere Application Server.
Avant de commencer
Dans WebSphere Application Server Version 6.1, un TAI (trust association interceptor) qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les requêtes HTTP des ressources sécurisées a été ajouté. Cette fonction est obsolète depuis WebSphere Application Server Version 7.0. L'authentification Web SPNEGO fournit les améliorations suivantes :
- Vous pouvez configurer et activer l'authentification Web SPNEGO et les filtres côté serveur sur WebSphere Application Server à l'aide de la console d'administration.
- Le rechargement dynamique de SPNEGO est fourni sans qu'il soit nécessaire de démarrer ou redémarrer WebSphere Application Server.
- La rétromigration d'une méthode de connexion d'application est fournie si l'authentification Web SPNEGO échoue.
Vous pouvez activer soit un intercepteur TAI SPNEGO soit l'authentification Web SPNEGO, mais pas les deux.
Reportez-vous à Connexion unique pour les demandes HTTP à l'aide de l'authentification Web SPNEGO pour mieux comprendre l'authentification Web SPNEGO et comment elle est prise en charge dans cette version de WebSphere Application Server.
Avant de démarrer cette tâche, vérifiez les points suivants :
Un serveur Microsoft Windows Server exécutant le contrôleur de domaine Active Directory et le centre KDC (Kerberos Key Distribution Center) associé.
Un membre du domaine Microsoft Windows (client), par exemple, un navigateur ou un client Microsoft .NET, qui prend en charge le mécanisme d'authentification SPNEGO, tel qu'il est défini dans IETF RFC 2478. Microsoft Internet Explorer Version 5.5 ou suivante et Mozilla Firefox Version 1.0 sont de tels clients.
Important : Un contrôleur de domaine en cours d'exécution et au moins une machine client dans ce domaine sont requis. IL n'est pas possible d'utiliser SPNEGO directement à partir du contrôleur de domaine.- Le membre de domaine comporte des utilisateurs qui peuvent se connecter au domaine. Vous avez spécifiquement besoin du domaine Active Directory de Microsoft Windows qui inclut :
- un contrôleur de domaine,
- un poste de travail client,
- des utilisateurs qui peuvent se connecter au poste de travail client.
- Une plateforme de serveur avec WebSphere Application Server en cours d'exécution avec la sécurité d'application activée.
- Les utilisateurs figurant dans Active Directory doivent pouvoir accéder aux ressources protégées de WebSphere Application Server en utilisant le mécanisme d'authentification natif de WebSphere Application Server.
- L'heure locale pour le contrôleur de domaine et l'hôte de WebSphere Application Server doivent concorder.
- Vérifiez que l'écart horaire sur les clients, Microsoft Active Directory et WebSphere Application Server ne dépasse pas 5 minutes.
- Les navigateurs client doivent être activés pour SPNEGO, ce qui s'effectue sur la machine d'application client (détails fournis à la procédure 4 "Configurer l'application client sur la machine de l'application client").
Pourquoi et quand exécuter cette tâche
Cette configuration de la machine a pour objectif de permettre aux utilisateurs d'accéder aux ressources de WebSphere Application Server sans avoir à effectuer une nouvelle authentification et d'être par conséquent en mesure de profiter des capacités de connexion unique du bureau Microsoft Windows.
- Un serveur Microsoft Windows server exécutant le contrôleur de domaine Active Directory et le centre KDC (Kerberos Key Distribution Center) associé.
- Un membre du domaine (application client) Microsoft Windows, tel qu'un navigateur ou un client .NET Microsoft.
- Une plateforme de serveur avec WebSphere Application Server en cours d'exécution.
Poursuivez avec les étapes suivantes pour créer une connexion unique pour les requêtes HTTP à l'aide de l'authentification Web SPNEGO :