Propriétés personnalisées de la sécurité des services Web
Vous pouvez configurer des paires de données nom-valeur arbitraires, où le nom est une clé de propriété et la valeur une chaîne, pouvant être utilisées pour définir des propriétés de configuration du système interne. La définition d'une nouvelle propriété permet de configurer un paramètre sans se limiter aux options disponibles dans la console d'administration.
Les propriétés personnalisées liées à la sécurité des services Web peuvent être définies à différents niveaux du serveur d'applications et de manière distincte pour les applications JAX-RPC et les applications JAX-WS. La liste qui suit présente les propriétés personnalisées concernées, leur emplacement, leurs paramètres et la manière dont elles sont utilisées.
Le module de connexion de jeton de sécurité générique de la sécurité des services Web ainsi que les propriétés personnalisées de jeton SAM de sécurité des services Web sont documentés dans d'autres rubriques d'informations. Des liens vers ces rubriques sont fournis dans la section Références connexes de la présente rubrique.
Vous pouvez définir les propriétés personnalisées de services Web suivantes :
- com.ibm.websvcs.client.serializeSecurityContext
- com.ibm.ws.wssecurity.createSTR
- com.ibm.ws.wssecurity.dsig.SignatureAlgorithm
- com.ibm.ws.wssecurity.sc.FaultCode
- com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig
- com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled
- com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens
- com.ibm.wsspi.wssecurity.config.request.setMustUnderstand et com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne
- com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure
- com.ibm.wsspi.wssecurity.consumer.timestampRequired
- com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces
- com.ibm.wsspi.wssecurity.dsig.oldEnvelopedSignature
- com.ibm.wsspi.wssecurity.enc.MTOM.Optimize
- com.ibm.wsspi.wssecurity.generator.useWSSObject
- com.ibm.wsspi.wssecurity.krbtoken.clientRealm
- com.ibm.wsspi.wssecurity.krbtoken.loginPrompt
- com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes
- com.ibm.wsspi.wssecurity.nonce.includeEncodingType
- com.ibm.wsspi.wssecurity.token.cert.useRequestorCert
- com.ibm.wsspi.wssecurity.token.enableCaptureTokenContext
- com.ibm.wsspi.wssecurity.token.enableCaptureTokenInboundMsg
- com.ibm.wsspi.wssecurity.token.forwardable
- com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed
- com.ibm.wsspi.wssecurity.token.IDAssertion.useRunAsIdentity
- com.ibm.wsspi.wssecurity.token.username.addNonce et com.ibm.wsspi.wssecurity.token.username.addTimestamp
- com.ibm.wsspi.wssecurity.token.username.emitPasswordDigest
- com.ibm.wsspi.wssecurity.token.username.password.forwardable
- com.ibm.wsspi.wssecurity.token.username.verifyNonce et com.ibm.wsspi.wssecurity.token.username.verifyTimestamp
- com.ibm.wsspi.wssecurity.token.UsernameToken.digestPasswordCallbackHandler
- com.ibm.wsspi.wssecurity.token.UsernameToken.disableUserRegistryCheck
- com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck
- com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7
- com.ibm.wsspi.wssecurity.useMTOMWithCustomComponents
com.ibm.websvcs.client.serializeSecurityContext
javax.xml.ws.BindingProvider bp;
bp.getRequestContext().put("com.ibm.websvcs.client.serializeSecurityContext", "false");
Information | valeur |
---|---|
Type de données | String (chaîne) |
Valeurs | True, False |
Valeut par défaut | True |
com.ibm.ws.wssecurity.createSTR
La propriété com.ibm.ws.wssecurity.createSTR crée une référence de jeton de sécurité pour le jeton de sécurité de l'en-tête de sécurité SOAP lorsque vous définissez une valeur True.
- Le mécanisme de référencement pour la signature de jeton est STR Dereference Transform, http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- L'élément SignedParts des règles de sécurité WS contient une valeur XPath qui représente SecurityTokenReference.
Cette propriété est configurée comme propriété personnalisée dans le générateur de jeton SAML. Elle n'est pas configurée dans le gestionnaire d'appel.
Information | valeur |
---|---|
Type de données | String (chaîne) |
Valeurs | True, False |
Valeut par défaut | False |
La valeur de cette propriété est insensible à la casse.
com.ibm.ws.wssecurity.dsig.SignatureAlgorithm
Utilisez cette propriété personnalisée afin de configurer une signature numérique ; vous pouvez activer l'exécution de la sécurité des services Web en vue de l'utilisation d'algorithmes de signature SHA-2.
Pour les applications JAX-WS, définissez la propriété personnalisée suivantes dans la section des informations de signature de la demande ou de la réponse afin d'activer les algorithmes de signature SHA-2. Veillez à utiliser la même valeur pour le client et le fournisseur lorsque vous configurez cette propriété personnalisée.
Information | valeur |
---|---|
Type de données | String (chaîne) |
Valeurs | rsa-sha256, rsa-sha384, rsa-sha512, hmac-sha256, hmac-sha384, hmac-sha512 ou dsa-sha256 |
- Cliquez sur Fournisseurs de services. ou
- Cliquez sur .
- Sous Règles, cliquez sur WS-Security.
- Sous Liaisons de la règle de sécurité du message, cliquez sur Authentification et protection.
- Sous Protection par chiffrement et signature du message de demande ou Protection par chiffrement et signature de message de réponse, cliquez sur référence_message_signature.
Lorsque vous sélectionnez le nom référence_message_signature, vous accédez à la configuration de la liaison du message signé.
- Spécifiez la propriété personnalisée, par exemple com.ibm.ws.wssecurity.dsig.SignatureAlgorithm, et entrez l'algorithme de votre choix comme valeur de la propriété avec l'une des valeurs identifiées dans la table précédente.
com.ibm.ws.wssecurity.sc.FaultCode
Utilisez cette propriété personnalisée dans un module de connexion JAAS pour définir le code d'erreur SOAP dans le cas d'une erreur. Si cette propriété n'est pas spécifiée, le code d'erreur SOAP wsse:FailedAuthentication est systématiquement renvoyé.
Dans le module de connexion JAAS personnalisé, paramétrez la propriété com.ibm.ws.wssecurity.sc.FaultCode du contexte wssecurity sur le QName du code d'erreur que vous souhaitez utiliser. Par exemple :
fcQname = new QName(
"http://schemas.xmlsoap.org/ws/2003/06/secext",
"FailedCheck");
this._context = propertyCallback.getProperties();
_context.put("com.ibm.ws.wssecurity.sc.FaultCode", fcQname);
Information | valeur |
---|---|
Type de données | String (chaîne) |
Valeut par défaut | aucun |
com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig
La propriété com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig, qui est configurée au niveau du programme appelant, indique le nom de la configuration de connexion JAAS utilisée par la fonction de sécurité des services Web pour obtenir les données d'autorisation de WebSphere Application Server. Vous devez configurer cette propriété à l'aide d'un outil d'assemblage tel que Rational Application Developer. Pour plus d'informations sur Rational Application Developer, voir la rubrique Configuration du programme appelant dans les contraintes de sécurité du consommateur. Dans cette rubrique, la propriété personnalisée est définie quand vous configurez la vérification d'identité.
Utilisez cette propriété uniquement avec des applications JAX-RPC WS-Security V1.0.
Information | valeur |
---|---|
Type de données | String (chaîne) |
Valeut par défaut | system.DEFAULT |
com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled
Lorsque la propriété personnalisée com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled prend la valeur true, la sécurité des Services Web n'impose pas les contraintes WS-Security configurées si la sécurité de l'application est désactivée sur le serveur d'applications. Vous pouvez utiliser cette propriété personnalisée pour déboguer les services dans un environnement non sécurisé, sans avoir à supprimer les contraintes de sécurité des applications de services Web.

Information | valeur |
---|---|
Type de données | String (chaîne) |
Valeurs | true, false |
Defaultfalse | false |
- Développez .
- Cliquez sur Liaisons générales de l'ensemble de règles du fournisseur ou Liaisons générales de l'ensemble de règles du client.
- Cliquez sur nom_liaison.
- Sous le titre Règles, cliquez sur .
- application.parameters
- application.securityinboundbinding config.properties
com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens
La propriété personnalisée com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens indique s'il faut mettre en mémoire cache UsernameTokens tout le temps, ce qui correspond au comportement par défaut, ou s'il faut les mettre en mémoire cache comme l'indique un ensemble de règles. Vous pouvez configurer cette propriété personnalisée pour le générateur de jeton ou en tant que propriété supplémentaire.
- Ne mettez jamais en mémoire cache les jetons UsernameTokens si l'application est exécutée sur un serveur d'applications.
- Mettez en mémoire cache les jetons UsernameTokens si le générateur de jeton de UsernameToken a le gestionnaire d'appel suivant configuré : com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler.
Cette propriété personnalisée s'applique uniquement à l'exécution JAX-RPC. Utilisez un outil d'assemblage tel que Rational Application Developer, pour paramétrer la propriété personnalisée dans les liaisons des parties de message chiffré.
Information | valeur |
---|---|
Type de données | String (chaîne) |
Valeurs | true, false |
Valeut par défaut | false |
com.ibm.wsspi.wssecurity.config.request.setMustUnderstand et com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne
Ces deux propriétés personnalisées permettent à l'administrateur de contrôler la définition de l'attribut mustUnderstand dans l'en-tête de sécurité SOAP. Elles sont définies en tant que propriétés personnalisées sortantes.
- com.ibm.wsspi.wssecurity.config.request.setMustUnderstand
La propriété personnalisée com.ibm.wsspi.wssecurity.config.request.setMustUnderstand spécifie le paramètre mustUnderstand dans les demandes sortantes de destinataire. Si cette propriété a la valeur zéro (0), no, ou false, l'attribut mustUnderstand n'est pas défini dans l'en-tête WS-Security des demandes sortantes.
Information valeur Type de données String (chaîne) valeur Zéro (0), no, false Valeut par défaut true Dans les messages SOAP, la valeur par défaut de l'attribut mustUnderstand est zéro (0). Conformément à la spécification SOAP, si l'attribut doit avoir la valeur zéro, il ne doit pas être présent dans le message.
Eviter les incidents: Les instructions pour définir la propriété com.ibm.wsspi.wssecurity.config.request.setMustUnderstand sont les mêmes que pour la propriété com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne et sont indiquées ci-dessous.gotcha
- com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne
La propriété personnalisée com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne spécifie que le fournisseur doit toujours répondre avec un attribut mustUnderstand="1" dans l'en-tête de sécurité SOAP. Si la valeur est égale à un (1), yes, ou true, le fournisseur répond avec l'attribut mustUnderstand="1" dans l'en-tête WS-Security. false est la valeur par défaut de l'attribut.
Information valeur Type de données String (chaîne) valeur Un (1), yes, ou true Valeut par défaut false Par défaut, la réponse contient le même attribut mustUnderstand que la demande. Si, par exemple, mustUnderstand="1" est défini dans la demande entrante, la réponse comportera mustUnderstand="1" elle aussi. Si la demande ne comporte pas d'attribut mustUnderstand, la réponse n'en inclura pas non plus.
Pour les applications JAX-WS, vous pouvez définir les propriétés personnalisées com.ibm.wsspi.wssecurity.config.request.setMustUnderstand et com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne en tant que propriétés personnalisées sortantes ou en tant que propriétés personnalisées entrantes et sortantes pour les liaisons des ensembles de règles. Effectuez les opérations suivantes dans la console d'administration pour définir les propriétés personnalisées :- Développez .
- Cliquez sur Liaisons générales de l'ensemble de règles du fournisseur ou Liaisons générales de l'ensemble de règles du client.
- Cliquez sur nom_liaison.
- Sous le titre Règles, cliquez sur .
Vous pouvez également définir les propriétés personnalisées com.ibm.wsspi.wssecurity.config.request.setMustUnderstand et com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne en tant que paramètres ou en tant que propriétés de liaison sortantes pour votre application à l'aide des outils wsadmin. Les noms de propriétés du type de règle WS-Security suivants sont utilisés dans setBinding :- application.parameters
- application.securityinboundbindingconfig.properties
Pour les applications JAX-RPC, vous pouvez indiquer les deux propriétés dans la console d'administration aux emplacements suivants :- Cliquez sur Exécution de la sécurité JAX-WS et JAX-RPC. Dans la section Liaisons de générateur par défaut JAX-RPC, cliquez sur Propriétés. . Sous Sécurité, cliquez sur
- Cliquez sur Exécution de la sécurité JAX-WS et JAX-RPC. Sous Propriétés personnalisées, sélectionnez Propriétés personnalisées. . Sous Sécurité, cliquez sur
Si vous utilisez un outil d'assemblage avec une application JAX-RPC WS-Security version 1.0, vous pouvez définir la propriété personnalisée com.ibm.wsspi.wssecurity.config.request.setMustUnderstand dans l'extension ou la liaison du générateur de la demande de sécurité. Vous pouvez définir la propriété personnalisée com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne dans la liaison ou l'extension du générateur de la réponse. Un paramètre de la liaison a priorité sur un paramètre de l'extension.
Si vous utilisez un outil d'assemblage avec une application JAX-RPC WS-Security intermédiaire de niveau 13, vous pouvez définir la propriété personnalisée com.ibm.wsspi.wssecurity.config.request.setMustUnderstand en tant que paramètre dans la liaison du nom qualifié du port. Vous pouvez définir la propriété personnalisée com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne en tant que paramètre dans la liaison du composant de port.
com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure
La propriété personnalisée com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure indique si un fichier de clés certifiées peut être rechargé après le démarrage d'un serveur d'applications.
Un fichier de clés certifiées est un fichier de clés Par défaut, JAX-WS WS-Security n'indique pas l'actualisation des fichiers de clés lorsque le serveur est actif. Pour des raisons de performance, les fichiers de clés sont mis en cache lorsque chaque application est démarrée. Comme le cache est partagé entre les applications, même si une seule application est arrêtée, ses fichiers de clés restent en cache. Par conséquent, si un certificat accrédité, utilisé par un consommateur de jeton X.509, est ajouté à un fichier de clés certifiées après le démarrage du serveur, la validation de l'accréditation échoue.
Si vous affectez à la propriété com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure la valeur true, lorsqu'une validation se produit, l'exécution WS-Security recharge son fichier de clés certifiées configuré et tente la validation d'accréditation de nouveau. Le fichier de clés certifiées rechargé est utilisé uniquement pour cette tentative de re-validation. L'objet fichier de clés dans le cache n'est pas remplacé, car cette opération peut générer des problèmes d'accès concurrents.
Si la seconde validation échoue, un échec de validation d'accréditation est envoyé au client.

com.ibm.wsspi.wssecurity.consumer.timestampRequired
La propriété com.ibm.wsspi.wssecurity.consumer.timestampRequired indique si l'horodatage n'est pas attendu dans l'en-tête de sécurité de la réponse lorsque le paramètre Inclure l'horodatage dans l'en-tête de sécurité est sélectionné pour la règle WS-Security.
L'environnement d'exécution JAX-WS WS-Security est mise à jour pour être conforme à l'exigence d'horodatage requis pour la spécification OASIS WS-SecurityPolicy 1.2. Si vous souhaitez configurer une application de telle sorte qu'aucun horodatage entrant ne soit requis lorsqu'un horodatage sortant est configuré, vous pouvez ajouter la propriété personnalisée com.ibm.wsspi.wssecurity.consumer.timestampRequired à vos paramètres de sécurité des services Web et affecter à cette propriété la valeur false. Lorsque cette propriété a pour valeur false, même si le paramètre Inclure l'horodatage dans l'en-tête de sécurité est sélectionné pour la règle WS-Security, aucun horodatage n'est attendu dans l'en-tête de sécurité d'une réponse.
La valeur par défaut de cette propriété est true.

Information | valeur |
---|---|
Type de données | Booléenne |
Valeut par défaut | true |
com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces
Cette propriété personnalisée, qui s'applique à la fois aux applications JAX-RPC et JAX-WS, indique s'il faut désactiver la liste des préfixes d'espace de nom inclusif pour les signatures numériques XML. Par défaut, WebSphere Application Server inclut le préfixe dans la signature numérique pour la sécurité des Services Web. Affectez à cette propriété personnalisée la valeur "false" si vous ne souhaitez pas définir les espaces de nom inclusifs en tant qu'élément. Certaines implémentations de la sécurité des services Web ne peuvent pas gérer cette liste de préfixes. En cas d'incident lié à la validation des signatures lors de l'envoi d'un message SOAP, si vous utilisez un autre fournisseur dans votre environnement, vérifiez avec lui s'il existe un correctif avant de désactiver cette propriété.
- Cliquez sur .
- Cliquez sur .
- Sous Propriétés de la sécurité des services Web, cliquez sur Services Web : Liaisons de sécurité du client ou Services Web : Liaisons de sécurité du serveur.
- Sous Liaison du générateur de requête (émetteur), ou Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées.
- Dans la section Propriétés requises, sélectionnez .
- Indiquez la propriété personnalisée et sa valeur.
- Cliquez sur ou .
- Cliquez sur .
- Sous Règles, cliquez sur WS-Security
- Sous Liaisons de la règle de sécurité du message, cliquez sur Authentification et protection .
- Dans la section de protection des messages de demande par signature et chiffrement ou dans la section de la protection des messages de réponse par signature et chiffrement, cliquez sur référence_message_signature. Quand vous cliquez sur le nom référence_message_signature, vous accédez à la configuration de la liaison du message signé.
- Indiquez la propriété personnalisée et sa valeur.
com.ibm.wsspi.wssecurity.dsig.oldEnvelopedSignature
Utilisez cette propriété en conjonction avec la propriété personnalisée JVM com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty pour indiquer à l'environnement d'exécution WS-Security qu'il doit calculer la valeur de synthèse (digest), comme dans les versions 7.0.0.21 et antérieures pour la création de signature numérique XML sortante ou la vérification entrante. Pour plus d'informations, reportez-vous aux propriétés personnalisées Java™ Virtual Machine (JVM) pour savoir quand l'utiliser.
Cette propriété est spécifiée comme propriété personnalisée entrante, sortante ou entrante et sortante pour les liaisons des ensembles de règles WS-Security.
com.ibm.wsspi.wssecurity.enc.MTOM.Optimize
Définissez la valeur de cette propriété personnalisée sur true pour utiliser MTOM (Message Transmission Optimization Mechanism) pour le texte chiffré correspondant aux données. Cette propriété est définie dans les liaisons des règles WS-Security pour les parties chiffrées sortantes des demandes client ou les réponses serveur.
com.ibm.wsspi.wssecurity.generator.useWSSObject
Cette propriété personnalisée détermine la façon dont l'environnement d'exécution WS-Security génère l'en-tête de sécurité SOAP qui est envoyé dans un message SOAP sortant. Par défaut, l'environnement d'exécution utilise un raccourci utilisant des représentations d'objet WSS (Web Services Security) pour générer l'en-tête de sécurité. Vous avez également la possibilité d'utiliser l'environnement d'exécution et les objets Axis2 pour générer l'en-tête de sécurité.
Cette propriété est définie dans les liaisons d'ensemble de règles WS-Security sous la forme d'une propriété personnalisée sortante ou d'une propriété personnalisée entrante et sortante. Cette propriété peut avoir pour valeur true ou false. Lorsque cette propriété a pour valeur true, les objets WSS sont utilisés pour générer l'en-tête de sécurité. Lorsqu'elle a pour valeur false, les objets Axis2 sont utilisés pour générer l'en-tête de sécurité.
Lorsque les règles WS-Security et WS-Addressing sont utilisées pour les messages entrants et sortants, une erreur risque de se produire où l'élément Body apparaît dans l'élément d'en-tête du message SOAP sortant. Si cette erreur se produit, affectez à la propriété personnalisée com.ibm.wsspi.wssecurity.generator.useWSSObject la valeur false.
La valeur par défaut est true.
com.ibm.wsspi.wssecurity.krbtoken.clientRealm
Cette propriété personnalisée de générateur de jeton JAX-WS Kerberos définit le nom du domaine Kerberos associé au client et permet au domaine de lancer la connexion Kerberos.
Cette propriété est facultative pour un environnement de domaine Kerberos unique. Sa valeur par défaut est le nom du domaine Kerberos par défaut. Lors de l'implémentation de la sécurité des services Web dans un environnement Kerberos interdomaine ou de confiance, vous devez spécifier une valeur pour cette propriété.
Cette propriété est définie en tant que propriété personnalisée pour le gestionnaire d'appel d'un générateur de jeton Kerberos. Pour définir la propriété dans la console d'administration, cliquez sur nom_liaison > WS-Security > Authentification et protection > nom_jeton_kerberos > Gestionnaire de rappel. Pour une application utilisant l'API WS-Security WSS, cette propriété peut être également définie dans le gestionnaire d'appel Kerberos pour le générateur de jeton.
com.ibm.wsspi.wssecurity.krbtoken.loginPrompt
Définissez cette propriété personnalisée de générateur de jeton JAX-WS Kerberos sur true pour activer la connexion Kerberos.
Cette propriété est définie en tant que propriété personnalisée pour le gestionnaire d'appel d'un générateur de jeton Kerberos. Pour définir la propriété dans la console d'administration, cliquez sur nom_liaison > WS-Security > Authentification et protection > nom_jeton_kerberos > Gestionnaire de rappel. Pour une application utilisant l'API WS-Security WSS, cette propriété peut être également définie dans le gestionnaire d'appel Kerberos pour le générateur de jeton.
La valeur par défaut de cette propriété est false.
com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes
La propriété personnalisée com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes indique si l'environnement d'exécution WS-Security est mis à jour pour émettre le code d'erreur SOAP 1.2 approprié lorsqu'une erreur est renvoyée en réponse à un message SOAP 1.2.
Lorsque cette propriété a pour valeur true, l'environnement d'exécution WS-Security renvoie un code d'erreur SOAP 1.2 en réponse à un message SOAP 1.2.
Lorsque cette propriété a pour valeur false, l'environnement d'exécution WS-Security renvoie un code d'erreur SOAP 1.1 en réponse à un message SOAP 1.2.
La valeur par défaut de cette propriété est true.
Cette propriété doit être définie en tant que propriété personnalisée WS-Security Entrante ou Entrante et sortante pour une liaison spécifique.
<?xml version="1.0" encoding="UTF-8"?>
<soapenv:Envelope xmlns:soapenv=" http://www.w3.org/2003/05/soap-envelope">
<soapenv:Body>
<soapenv:Fault>
<soapenv:Code>
<soapenv:Value>soapenv:Sender</soapenv:Value>
<soapenv:Subcode>
<soapenv:Value xmlns:axis2ns1="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
axis2ns1:FailedAuthentication</soapenv:Value>
</soapenv:Subcode>
</soapenv:Code>
<soapenv:Reason>
<soapenv:Text>CWWSS6521E: The Login failed because
of an exception: javax.security.auth.login.LoginException:
CWWSS7062E: Failed to check username [user1] and password in
the UserRegsitry: WSSUserRegistryProcessor.checkRegistry()=false
</soapenv:Text>
</soapenv:Reason>
<soapenv:Detail></soapenv:Detail>
</soapenv:Fault>
</soapenv:Body>
</soapenv:Envelope>
com.ibm.wsspi.wssecurity.nonce.includeEncodingType
Cette propriété personnalisée JAX-WS est ajoutée à l'environnement d'exécution WebSphere WS-Security pour indiquer qu'un attribut EncodingType doit être ajouté aux éléments nonce. Lorsque cette propriété a la valeur true, l'attribut EncodingType est ajouté aux éléments nonce dans l'en-tête SOAP Security.
- Propriétés personnalisées sortantes
- Propriétés personnalisées des messages entrants et sortants
com.ibm.wsspi.wssecurity.token.cert.useRequestorCert
Lorsque cette propriété personnalisée JAX-WS a la valeur true, le certificat du signataire de la demande SOAP est utilisé pour chiffrer la réponse SOAP. Ce processus s'appelle le chiffrement du certificat de signataire.
Cette propriété est définie en tant que propriété personnalisée pour le gestionnaire d'appel du générateur de jeton de chiffrement. Pour définir la propriété dans la console d'administration, cliquez sur nom_liaison > WS-Security > Authentification et protection > nom_jeton > Gestionnaire de rappel. Pour une application utilisant l'API WS-Security WSS, cette propriété peut être également définie dans le gestionnaire d'appel pour le générateur de jeton.
La valeur par défaut de cette propriété est false.
com.ibm.wsspi.wssecurity.token.enableCaptureTokenContext
Cette propriété indique si un consommateur de jeton et/ou un générateur de jeton sont activés pour obtenir leur jeton depuis le conteneur de jeton (tokenHolder) sur le contexte de message.
Cette propriété n'est valide que pour les applications JAX-WS.
Les valeurs admises pour cette propriété sont true et false. La valeur par défaut est false.
- Développez .
- Cliquez sur Liaisons générales de l'ensemble de règles du fournisseur ou Liaisons générales de l'ensemble de règles du client.
- Cliquez sur le nom de liaison.
- Sous le titre Règles, cliquez sur .
- Ajoutez cette propriété et sa valeur dans les zones Nom et Valeur des propriétés personnalisées.
com.ibm.wsspi.wssecurity.token.enableCaptureTokenInboundMsg
Cette propriété indique si un consommateur de jeton et/ou un générateur de jeton sont activés pour obtenir leur jeton depuis le jeu de jetons de sécurité (SecurityToken) dans le message entrant. Si le message entrant comporte plusieurs jetons qui correspondent au type de valeur du générateur de jeton, le jeton sélectionné sera indéterminé.
Cette propriété n'est valide que pour les applications JAX-WS.
Les valeurs admises pour cette propriété sont true et false. La valeur par défaut est false.
Pour plus d'informations sur la liste de conteneurs de jeton (tokenHolder), voir passThroughToken dans com.ibm.wsspi.wssecurity.core.config.IssuedTokenConfigConstants
- Développez .
- Cliquez sur Liaisons générales de l'ensemble de règles du fournisseur ou Liaisons générales de l'ensemble de règles du client.
- Cliquez sur le nom de liaison.
- Sous le titre Règles, cliquez sur .
- Ajoutez cette propriété et sa valeur dans les zones Nom et Valeur des propriétés personnalisées.
com.ibm.wsspi.wssecurity.token.forwardable
Lors de la configuration des liaisons de consommation SecurityToken du modèle de programmation JAX-WS, utilisez cette propriété personnalisée que le jeton récepteur soit propagé ou non vers les autres serveurs. Si vous définissez la valeur true pour cette propriété, vous permettez la propagation du jeton aux autres serveurs. Si vous définissez la valeur false, le jeton n'est pas propagé vers les autres serveurs. La valeur par défaut est true et elle n'est pas sensible à la casse.
com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed
Cette propriété a été conçue pour être utilisée dans un scénario de vérification d'identité. Associez-lui la valeur true dans la configuration du gestionnaire d'appel pour le jeton d'identité.
Lorsque cette propriété a pour valeur true dans le générateur UsernameToken, le générateur pour émettre un jeton UsernameToken sans mot de passe. Le reste de la configuration de vérification d'identité ne doit pas utiliser cette propriété car elle ne s'applique qu'au consommateur ou générateur UsernameToken.
Information | valeur |
---|---|
Type de données | String (chaîne) |
Valeurs | true, false |
Valeut par défaut | false |
com.ibm.wsspi.wssecurity.token.IDAssertion.useRunAsIdentity
Cette propriété est utilisée par le générateur UsernameToken. Lorsqu'elle a pour valeur true dans le gestionnaire d'appel pour le générateur UsernameToken, le nom principal provenant du sujet runAs courant est utilisé comme nom d'utilisateur dans le jeton UsernameToken. Lorsqu'elle a pour valeur true, la sécurité de base doit être activée et un sujet runAs doit être défini sur l'unité d'exécution courante de l'exécution pour qu'un nom d'utilisateur non nul soit défini dans le jeton UsernameToken.
IDAssertion.useRunAsIdentity=true requiert qu'IDAssertion.isUsed=true soit également défini.
Information | valeur |
---|---|
Type de données | String (chaîne) |
Valeurs | true, false |
Valeut par défaut | false |
com.ibm.wsspi.wssecurity.token.username.addNonce et com.ibm.wsspi.wssecurity.token.username.addTimestamp
Lorsque vous configurez un jeton de nom d'utilisateur pour le modèle de programmation JAX-WS, il est fortement recommandé d'ajouter les propriétés personnalisées com.ibm.wsspi.wssecurity.token.username.addNonce et com.ibm.wsspi.wssecurity.token.username.addTimestamp à la configuration du gestionnaire d'appel pour la génération des jetons, afin de disposer d'une protection contre les attaques de type replay. Ces propriétés personnalisées activent et vérifient le nonce et l'horodatage pour l'authentification des messages. La valeur de la propriété doit être true.
com.ibm.wsspi.wssecurity.token.username.emitPasswordDigest
Cette propriété active le module UNTGenerateLoginModule pour le prétraitement du mot de passe et l'émission d'un type de mot de passe #PasswordDigest à la place de #PasswordText pour un élément UsernameToken.
- Cliquez sur .
- Cliquez sur Liaisons générales de l'ensemble de règles du fournisseur ou Liaisons générales de l'ensemble de règles du client.
- Cliquez sur le nom de liaison.
- Sous le paramètre Règle, cliquez sur
- Ajoutez cette propriété et cette valeur dans les zones Nom et Valeur des propriétés personnalisées.
Information | valeur |
---|---|
Valeurs | true, false |
Valeut par défaut | false |
com.ibm.wsspi.wssecurity.token.username.password.forwardable
Lors de la configuration des liaisons de consommation UsernameToken du modèle de programmation JAX-WS, utilisez cette propriété personnalisée pour indiquer si le mot de passe est propagé avec le jeton UsernameToken aux autres serveurs au cours de la propagation UsernameToken. Si vous définissez la valeur true, le mot de passe est conservé pendant la propagation. Si vous définissez la valeur false, le mot de passe doit être supprimé avant la propagation UsernameToken. La valeur par défaut est true et elle n'est pas sensible à la casse.
com.ibm.wsspi.wssecurity.token.username.verifyNonce et com.ibm.wsspi.wssecurity.token.username.verifyTimestamp
Lorsque vous configurez un jeton de nom d'utilisateur pour le modèle de programmation JAX-WS, il est fortement recommandé d'ajouter les propriétés personnalisées com.ibm.wsspi.wssecurity.token.username.verifyNonce et com.ibm.wsspi.wssecurity.token.username.verifyTimestamp à la configuration du gestionnaire d'appel pour le consommateur du jeton, afin de disposer d'une protection contre les attaques de type replay. Ces propriétés personnalisées activent et vérifient le nonce et l'horodatage pour l'authentification des messages. La valeur de la propriété doit être true.
com.ibm.wsspi.wssecurity.token.UsernameToken.digestPasswordCallbackHandler
Cette propriété personnalisée définit une classe de gestionnaire d'appel personnalisée à utiliser sur un consommateur UsernameToken qui traite un type de mot de passe #PasswordDigest. Le gestionnaire d'appel doit être disponible pour l'application et implémenter l'interface javax.security.auth.callback.CallbackHandler. La valeur de l'élément Username dans le consommateur UsernameToken est transmise au gestionnaire d'appel sur un objet javax.security.auth.callback.NameCallback. Le mot de passe qui est associé au nom d'utilisateur est renvoyé sur un objet javax.security.auth.callback.PasswordCallback. Le mot de passe qui est renvoyé est prétraité et comparé à la valeur Password dans le consommateur de jeton de nom d'utilisateur.
Cette propriété est configurée comme propriété personnalisée du gestionnaire d'appel de jeton de nom d'utilisateur. Pour plus d'informations, voir Consommation d'un jeton de nom d'utilisateur à l'aide de PasswordDigest.
com.ibm.wsspi.wssecurity.token.UsernameToken.disableUserRegistryCheck
Cette propriété permet de ne pas vérifier le registre d'utilisateurs pour les jetons d'identité dans l'API Java des services Web XML (JAX-WS). Cela implique que le nom d'utilisateur associé au jeton d'identité dans une vérification d'identité peut passer par UNTConsumeLoginModule sans générer une erreur de registre. Généralement, un jeton d'identité ne doit pas contenir de mot de passe et il peut exister ou non un jeton d'accréditation. Par exemple, il peut existe une confiance aveugle.
Cette propriété n'affecte pas un jeton UsernameToken qui contient un mot de passe.
Si vous devez ignorer la vérification de registre d'un jeton UsernameToken qui contient un mot de passe, reportez-vous à la rubrique "Remplacement de la méthode d'authentification du consommateur de jeton UsernameToken à l'aide d'un module de connexion JAAS empilé". Si une configuration d'appelant est requise pour le jeton UsernameToken, voir la rubrique Définition d'une configuration d'appelant de jeton UsernameToken sans interaction avec le registre.
Lorsque la propriété a la valeur true, le UNTConsumeLoginModule ne valide pas le jeton UsernameToken entrant si et seulement si le jeton UsernameToken ne contient pas de mot de passe.
Les valeurs admises pour cette propriété sont true et false. La valeur par défaut est false.
- Développez .
- Cliquez sur Liaisons générales de l'ensemble de règles du fournisseur ou Liaisons générales de l'ensemble de règles du client.
- Cliquez sur le nom de liaison.
- Sous le titre Règles, cliquez sur .
- Ajoutez cette propriété et sa valeur dans les zones Nom et Valeur des propriétés personnalisées.
com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck
Cette propriété permet de ne pas vérifier le registre d'utilisateurs pour les jetons UsernameToken dans JAX-RPC. Cela signifie que le nom d'utilisateur sera transmis via UsernameLoginModule sans qu'une erreur de registre ne soit générée.
Les valeurs admises pour cette propriété sont true et false. La valeur par défaut est false.
Cette propriété peut être ajoutée aux propriétés personnalisées du module com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule dans la configuration JAAS wssecurity.UsernameToken ou dans les propriétés personnalisées de la configuration JAAS du consommateur de jeton UsernameToken pour l'application du fournisseur.
com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7
La sécurité des services Web prend en charge les jetons LTPA (Version 1) et LTPA Version 2 (LTPA2). Le jeton LTPA2, plus fiable que la version 1, est pris en charge par l'exécution JAX-WS uniquement. Vous pouvez définir l'option d'interopérabilité Appliquer la version du jeton dans le générateur de jeton pour déterminer si un jeton LTPA (Version 1) ou LTPA2 est extrait lorsqu'un message de demande est reçu. Toutefois, si vous voulez forcer l'exécution à utiliser des jetons LTPA (Version 1), vous pouvez affecter à la propriété personnalisée com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 la valeur true
- Recherchez la liaison à configurer.
- Cliquez sur la règle WS-Security dans la table des règles.
- Cliquez sur le lien Authentification et protection dans la section des liaisons de règles de sécurité.
- Cliquez sur le générateur de jeton à configurer.
- Définissez com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 sur true dans la section Propriétés personnalisées.
Valeur de la propriété personnalisée com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 | Valeur Enforce token version | Résultat |
---|---|---|
false | Désactivée | L'exécution peut utiliser des jetons LTPA (Version 1) et LTPA2. |
Non définie ; implique la valeur false | Désactivée | L'exécution peut utiliser des jetons LTPA (Version 1) et LTPA2. |
true | Désactivée | L'exécution peut utiliser des jetons LTPA (Version 1) uniquement. |
true | Activé | L'exécution peut utiliser des jetons LTPA (Version 1) uniquement. |
Pour plus d'informations, voir la documentation sur l'activation ou la désactivation du mode d'interopérabilité de la connexion unique pour jeton LTPA.
com.ibm.wsspi.wssecurity.useMTOMWithCustomComponents
Affectez la valeur true à cette propriété personnalisée JAX-WS si des messages incluant MTOM par erreur contiennent des données binaires codées en base 64 dans le document XML. Si cette propriété a pour valeur true, la phase d'exécution WS-Security ne développe pas et n'organise pas les éléments de document de manière prématurée. Cette propriété est spécifiée en tant que propriété personnalisée sortante ou entrante et sortante dans les liaisons d'ensemble de règles WS-Security du client. La valeur par défaut de la propriété est false.