L'authentification par signature correspond à un certificat X.509 que le client envoie au serveur. Le
certificat est utilisé pour l'authentification auprès du registre d'utilisateurs configuré
sur le serveur. Après qu'une demande a été reçue par le serveur qui contient le certificat, ce serveur
doit ouvrir une session (se connecter) pour former un justificatif. Le justificatif
est utilisé pour l'autorisation.
Vous pouvez configurer l'authentification par signature au niveau du serveur.
Pourquoi et quand exécuter cette tâche
Important : Il existe une grande différence entre les applications version 5.x, version 6.0.x et ultérieure.
Les informations concernent uniquement les applications
Version 5.x utilisées avec WebSphere Application
Server Version 6.0.x et versions ultérieures. Les informations ne s'appliquent pas aux applications version 6.0.x et versions ultérieures.
Si le certificat fourni ne peut pas être mappé avec une entrée du registre
d'utilisateurs, une exception est générée et le traitement de la requête prend fin sans
que la ressource soit appelée.
Procédure
- Lancez un outil d'assemblage. Pour plus d'informations, consultez les informations relatives aux outils d'assemblage.
- Passez à la perspective Java™ EE (Java Platform, Enterprise Edition)
en cliquant sur .
- Cliquez sur .
- A l'aide du bouton droit de la souris, cliquez sur le fichier
webservices.xml puis sélectionnez .
- Click the Extensions tab, which is located at the end of the Web
Services Editor within the assembly tool.
- Développez la section . Vous pouvez sélectionner l'une des options suivantes :
- BasicAuth (authentification de base)
- Signature
- Assertion d'identité
- Lightweight Third Party Authentication
- Sélectionnez Signature pour authentifier le client à l'aide du certificat X509. Le certificat envoyé par le client est le certificat émis pour la signature du message. Vous devez pouvoir mapper ce certificat au registre d'utilisateurs configuré. Pour les registres du système d'exploitation local, le nom commun (cn) du nom distinctif (DN) est mappé à
un ID utilisateur du registre. Pour LDAP (Lightweight Directory Access Protocol), vous pouvez configurer plusieurs modes de mappage :
- EXACT_DN représente le mode par défaut qui mappe directement le nom distinctif du certificat vers une entrée définie sur le serveur LDAP.
- CERTIFICATE_FILTER est le mode qui permet à la configuration avancée LDAP de définir un filtre pour mapper des attributs spécifiques du serveur LDAP.
Que faire ensuite
Pour vous familiariser avec l'éditeur de client de services web fourni avec
l'outil d'assemblage, voir
Configuration des liaisons de sécurité du serveur à l'aide d'un outil d'assemblage.
Une fois que vous avez indiqué comment le serveur doit traiter les informations d'authentification par signature, vous devez déterminer comment il doit les valider.
Voir les tâches de configuration du serveur afin qu'il valide l'authentification par signature.