Paramètres de configuration du générateur de jetons
Cette page permet de spécifier les informations relatives au générateur de jetons. Ces informations sont utilisées côté générateur pour générer le jeton de sécurité uniquement.
- Cliquez sur .
- Dans la section Liaisons de générateur par défaut JAX-RPC, sélectionnez Nouveau pour créer un générateur de jetons. ou cliquez sur
- Cliquez sur .
- Sous Sécurité, cliquez sur Module d'exécution de sécurité JAX-WS et JAX-RPC.
Environnement de version mixte: Dans une cellule de noeud mixte comportant un serveur WebSphere Application Server de version 6.1 ou antérieure, cliquez sur Services Web : Liaisons par défaut pour la sécurité des services Web.mixv
- Dans la section Liaisons de générateur par défaut JAX-RPC, sélectionnez ou cliquez sur Nouveau pour créer un générateur de jetons.
- Cliquez sur .
- Sous Modules, cliquez sur .
- Sous Propriétés supplémentaires, vous pouvez accéder aux informations relatives aux générateurs de jetons pour les liaisons ci-dessous.
- Pour la liaison du générateur de demande (émetteur), cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées.
- Pour la liaison du générateur de réponse (émetteur), cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées.
- Cliquez sur Nouveau pour créer un générateur de jetons ou cliquez sur le nom d'un générateur de jetons pour spécifier ses paramètres.
- Cliquez sur .
- Sous Modules, cliquez sur .
- Sous Propriétés de la sécurité des services Web, cliquez sur Services Web : Liaisons de sécurité du client.
- Dans la section Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées.
- Sous Propriétés supplémentaires, cliquez sur .
Avant de spécifier des propriétés, indiquez une valeur dans les zones Nom du générateur de jetons et Nom de la classe du générateur de jetons.
Nom du générateur de jetons
Spécifie le nom de la configuration du générateur de jetons.
Par exemple, les noms de générateur de jetons X509 par défaut sont gen_enctgen pour le chiffrement ou gen_signtgen pour la signature. Ou, un nom de générateur de jetons personnalisé peut être sig_tgen pour la signature.
Nom de la classe du générateur de jetons
Spécifie le nom de la classe d'implémentation du générateur de jetons.
Cette classe doit implémenter l'interface com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent.
Nom de la classe du générateur de jetons
Spécifie le nom de la classe d'implémentation du générateur de jetons.
Chemin d'accès au certificat
Spécifie la liste CRL (certificate revocation list) utilisée pour la génération d'un jeton de sécurité encapsulé dans un type de jeton PKCS#7 avec CRL.
Lorsque le générateur de jetons n'est pas conçu pour un type de jeton PKCS#7, vous devez sélectionner Aucun. Lorsque le générateur de jetons est défini pour le type de jeton PKCS#7 et si vous voulez intégrer la liste CRL dans le jeton de sécurité, sélectionnez Informations de signature dédiées et spécifiez la liste CRL du magasin de certificats de collection.
Nom de la liaison | Niveau serveur, niveau cellule ou niveau application | Chemin |
---|---|---|
Liaisons de générateur par défaut | Niveau de la cellule |
|
Liaisons de générateur par défaut | Niveau du serveur |
|
Le magasin de certificats de collection permet de configurer une liste CRL (certificate revocation list) associée ; pour ce faire, cliquez sur Liste de retrait de certificats dans la section Propriétés supplémentaires.
Ajouter nonce
Indique si la valeur nonce est incluse dans le jeton de nom d'utilisateur pour le générateur de jetons. Nonce est un numéro cryptographique unique, incorporé dans un message pour aider à arrêter les attaques à répétition et non autorisées des jetons de nom d'utilisateur.
Si vous sélectionnez l'option Ajouter nonce au niveau de l'application, vous pouvez spécifier les propriétés suivantes dans la section Propriétés supplémentaires :
Nom de la propriété | Valeur par défaut | Explication |
---|---|---|
com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.cacheTimeout | 600 secondes | Indique le délai d'expiration, en secondes, de la valeur nonce mise en mémoire cache sur le serveur. |
com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.clockSkew | 0 secondes | Indique le temps en secondes avant expiration de l'horodatage nonce. |
com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.maxAge | 300 secondes | Spécifie la valeur du décalage de l'horloge, en secondes, à prendre en compte lorsque le serveur d'applications vérifie le message. |
Ces propriétés sont disponibles dans la console d'administration au niveau de la cellule et au niveau du serveur. Toutefois, au niveau de l'application, vous pouvez configurer les propriétés dans la section Propriétés supplémentaires.
Cette option s'affiche au niveau de la cellule, du serveur et de l'application. Elle est valide uniquement lorsque le type de jeton généré est un jeton de nom d'utilisateur.
Ajouter l'horodatage
Indique si l'horodatage est inséré ou non dans le jeton de nom d'utilisateur.
Cette option s'affiche au niveau de la cellule, du serveur et de l'application. Elle est valide uniquement lorsque le type de jeton généré est un jeton de nom d'utilisateur.
Nom local du type de valeur
Indique le nom local du type de valeur pour le jeton généré.
- Jeton de nom d'utilisateur
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
- Jeton de certificat X509
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- Certificats X509 dans PKIPath
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- Liste de certificats X509 et de listes CRL dans un PKCS#7
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- Lightweight Third Party Authentication
- LTPA_PROPAGATION
Pour le type de valeur personnalisé des jetons personnalisés, vous pouvez spécifier le nom local et l'URI du QName (quality name) du type de valeur. Vous pouvez par exemple entrer Custom comme nom local et http://www.ibm.com/custom comme URI.
URI du type de valeur
Indique l'URI de l'espace de nom du type de valeur pour le jeton généré.
Lorsque vous spécifiez le générateur de jetons pour le jeton de nom d'utilisateur ou le jeton de sécurité d'un certificat X.509, il n'est pas nécessaire de sélectionner cette option. Pour spécifiez un autre jeton, entrez l'URI du Qname du type de valeur.
- Pour le jeton LTPA : http://www.ibm.com/websphere/appserver/tokentype/5.0.2
- Pour la propagation du jeton LTPA : http://www.ibm.com/websphere/appserver/tokentype