Configuration des destinataires de jetons à l'aide de JAX-RPC pour protéger l'authenticité des messages au niveau de l'application
Vous pouvez définir le destinataire du jeton au niveau de l'application. Les informations du destinataire du jeton sont utilisées côté destinataire pour incorporer le jeton de sécurité.
Avant de commencer
Prenez en compte le fait que les informations de fichier de clés/alias fournies pour le générateur et celles fournies pour le consommateur sont utilisées différemment. La principale différence concerne l'alias d'un gestionnaire d'appel X.509.
Lorsqu'il est utilisé avec un consommateur de chiffrement, l'alias fourni pour le consommateur permet d'extraire la clé privée afin de déchiffrer le message. Un mot de passe est requis. Lorsqu'il est associé à un consommateur de signature, l'alias fourni pour le consommateur est utilisé uniquement pour extraire la clé publique permettant de résoudre un certificat X.509 qui n'est pas transmis dans l'en-tête de sécurité SOAP en tant qu'élément BinarySecurityToken. Aucun mot de passe n'est requis.
Pourquoi et quand exécuter cette tâche
Pour configurer le destinataire du jeton au niveau de l'application, procédez comme suit :
Procédure
- Recherchez le panneau du destinataire du jeton dans la console d'administration.
- Cliquez sur Applications > Types d'application > Applications d'entreprise WebSphere > nom_application.
- Sous Modules, cliquez sur Gestion des modules > nom_URI.
- Sous Propriétés de sécurité des services Web, vous pouvez
accéder au destinataire du jeton pour les liaisons suivantes :
- Pour la liaison de destinataire (récepteur) de demande, cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du destinataire de la demande (récepteur), cliquez sur Editer les valeurs personnalisées.
- Pour la liaison de destinataire de réponse (récepteur), cliquez sur Services Web : Liaisons de sécurité du client. Sous Liaison du destinataire de la réponse (récepteur), cliquez sur Editer les valeurs personnalisées.
- Dans la section Propriétés requises, cliquez sur Destinataire du jeton.
- Cliquez sur Nouveau pour créer une configuration de destinataire de jeton, cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de destinataire de jeton pour modifier ses paramètres. Si vous créez une configuration, entrez un nom unique dans la zone Nom du destinataire du jeton. Par exemple, entrez con_signtcon.
- Indiquez un nom de classe dans la zone Nom de classe du destinataire du jeton. L'implémentation
du module de connexion JAAS (Java™ Authentication and Authorization Service) permet de valider (authentifier)
le jeton de sécurité au niveau du consommateur.
Le nom de la classe du destinataire de jeton pour le destinataire de demande et de réponse doit être similaire à celui de la classe du générateur de jetons pour le générateur de demande et de réponse. Par exemple, si l'application requiert un destinataire de jeton du nom d'utilisateur (username token), vous pouvez spécifier le nom de classe com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator dans le panneau Générateur de jetons au niveau de l'application et le nom de classe com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer dans cette zone.
- Facultatif : Sélectionnez une référence de section dans la zone
Référence de section. La référence de partie indique le nom du jeton de sécurité défini dans le descripteur de déploiement.
Par exemple, si vous recevez un jeton du nom d'utilisateur (username token) dans le message de demande, vous pouvez référencer le jeton dans le destinataire du jeton du nom d'utilisateur. Important : Au niveau de l'application, si vous ne spécifiez pas un jeton de sécurité dans le descripteur de déploiement, la zone Référence de section ne s'affiche pas. Si vous définissez un jeton de sécurité appelé user_tcon dans le descripteur de déploiement, user_tcon s'affiche en tant qu'option dans la zone Référence de section.
- Facultatif : Dans la section Chemin d'accès au certificat du panneau, sélectionnez un type de magasin de certificats et, le cas échéant, indiquez le point d'ancrage digne de confiance et le nom du magasin de certificats. Ces options et zones sont nécessaires lorsque vous spécifiez com.ibm.wsspi.wssecurity.token.X509TokenConsumer en tant que nom de classe du destinataire de jeton. Les noms du point d'ancrage digne de confiance et du magasin de certificats de collection sont créés dans le chemin d'accès au certificat, sous le destinataire du jeton. Restriction : L'interface com.ibm.wsspi.wssecurity.token.TokenConsumingComponent n'est pas utilisée avec les services Web JAX-WS. Si vous utilisez les services Web JAX-RPC, cette interface est encore valide.
Vous pouvez sélectionner l'une des options suivantes :
- Aucun
- Si vous sélectionnez cette option, le chemin d'accès au certificat n'est pas spécifié.
- Faire confiance à tous
- Si vous sélectionnez cette option, tous les certificats sont considérés comme fiables. Lorsque le jeton reçu est consommé, WebSphere Application Server ne valide pas le chemin d'accès au certificat.
- Informations de signature dédiées
- Si vous choisissez cette option, vous pouvez sélectionner une configuration de point d'ancrage digne de confiance et de magasin de certificats. Lorsque vous sélectionnez le point d'ancrage digne de confiance ou le magasin de certificats d'un certificat sécurisé, vous devez configurer le point d'ancrage digne de confiance et le magasin de certificats avant de définir le chemin d'accès au certificat.
- Ancrage sécurisé
- Un point d'ancrage digne de confiance spécifie une liste des configurations de fichier de clés qui contient les certificats racine digne de confiance. Ces configurations permettent de valider le chemin d'accès aux certificats des jetons de sécurité X.509 entrants. Au sein d'un point d'ancrage digne de confiance, les objets du fichier de clés contiennent les certificats racine dignes de confiance utilisés par
l'API CertPath pour valider la fiabilité d'une chaîne de certificats.
Vous devez créer le fichier de clés à l'aide de l'utilitaire de clés figurant dans le fichier rép_install/java/jre/bin/keytool.
Vous devez créer le fichier de clés à l'aide de l'utilitaire de clés. Celui-ci est disponible via QShell Interpreter.
Vous pouvez configurer les points d'ancrage dignes de confiance au niveau de l'application en effectuant les étapes suivantes :- Cliquez sur Applications > Types d'application > Applications d'entreprise WebSphere > nom_application.
- Dans la section Articles liés, cliquez sur Modules EJB ou Modules Web > nom_URI.
- Accédez au destinataire du jeton à partir des liaisons suivantes :
- Pour la liaison de destinataire (récepteur) de demande, cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du destinataire de la demande (récepteur), cliquez sur Editer les valeurs personnalisées.
- Pour la liaison de destinataire de réponse (récepteur), cliquez sur Services Web : Liaisons de sécurité du client. Sous Liaison du destinataire de la réponse (récepteur), cliquez sur Editer les valeurs personnalisées.
- Dans la section Propriétés supplémentaires, cliquez sur Points d'ancrage dignes de confiance.
- Magasin de certificats de collection
- Un magasin de certificats de collection inclut une liste des certificats non sécurisés et intermédiaires et les listes de retrait de certificat (CRL). Le magasin de certificats de collection permet de valider le chemin des jetons de sécurité X.509 entrants. Vous pouvez configurer le magasin de certificats de collection au niveau de l'application en effectuant les étapes suivantes :
- Cliquez sur Applications > Types d'application > Applications d'entreprise WebSphere > nom_application.
- Dans la section Articles liés, cliquez sur Modules EJB ou Modules Web > nom_URI.
- Accédez au destinataire du jeton à partir des liaisons suivantes :
- Pour la liaison de destinataire (récepteur) de demande, cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du destinataire de la demande (récepteur), cliquez sur Editer les valeurs personnalisées.
- Pour la liaison de destinataire de réponse (récepteur), cliquez sur Services Web : Liaisons de sécurité du client. Sous Liaison du destinataire de la réponse (récepteur), cliquez sur Editer les valeurs personnalisées.
- Dans la section Propriétés supplémentaires, cliquez sur Magasin de certificats de collection.
- Facultatif : Spécifiez un évaluateur d'ID dignes de confiance. Ce dernier permet de déterminer si l'ID reçu est digne de confiance. Vous pouvez sélectionner l'une des options suivantes :
- Aucun
- Si vous sélectionnez cette option, l'évaluateur d'ID dignes de confiance n'est pas spécifié.
- Définition de l'évaluateur existant
- Si vous sélectionnez cette option, vous pouvez sélectionner l'un des évaluateurs d'ID dignes de confiance configurés. Par exemple, vous pouvez sélectionner SampleTrustedIDEvaluator, fourni par WebSphere Application Server en tant qu'exemple.
- Définition de l'évaluateur de liaison
- Si vous sélectionnez cette option, vous pouvez configurer un nouvel évaluateur d'ID dignes de confiance en spécifiant son nom et un nom de classe.
- Nom d'évaluateur d'ID dignes de confiance
- Indique le nom utilisé par la liaison d'application pour désigner un évaluateur d'ID dignes de confiance défini dans les liaisons par défaut.
- Nom de classe de l'évaluateur d'ID dignes de confiance
- Indique le nom de classe de l'évaluateur d'ID dignes de confiance. La classe spécifiée pour l'évaluateur d'ID dignes de confiance
doit implémenter
l'interface com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator. La classe par
défaut a pour nom com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl.
Lorsque vous utilisez cette classe par défaut, vous devez indiquer le nom et la valeur de chaque propriété de l'évaluateur d'ID
digne de confiance par défaut pour créer la liste d'ID dignes de confiance
à évaluer. Pour spécifier le nom et la valeur de chaque propriété,
procédez aux opérations ci-dessous.
- Dans Propriétés supplémentaires, cliquez sur Propriétés > Nouveau.
- Indiquez le nom de l'évaluateur d'ID digne de confiance dans la zone Propriété. Ce nom doit être spécifié au format trustedId_n où _n est un entier compris entre 0 et n.
- Indiquez l'ID digne de confiance dans la zone Valeur.
Exemple :property name="trustedId_0", value="CN=Bob,O=ACME,C=US" property name="trustedId_1, value="user1"
Si le nom distinctif (DN) est utilisé, l'espace est supprimé pour les comparaisons. Pour une explication décrivant comment implémenter l'interface com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator, consultez les informations relatives au modèle de programmation, dans la documentation. Pour plus d'informations, voir la rubrique Implémentations par défaut des interfaces de programmation du fournisseur de services de sécurité des services Web.
Remarque : Définissez l'évaluateur d'ID dignes de confiance au niveau du serveur plutôt qu'au niveau de l'application. Pour définir l'évaluateur d'ID dignes de confiance au niveau du serveur, procédez comme suit :- Cliquez sur Serveurs > Types de serveurs > Serveurs d'applications WebSphere > nom_serveur.
- Sous Sécurité, cliquez sur Exécution de la sécurité JAX-WS et JAX-RPC.
Environnement de version mixte: Dans une cellule de noeud mixte avec un serveur utilisant WebSphere Application Server version 6.1 ou une version précédente, cliquez sur Liaisons par défaut pour la sécurité des services Web.mixv
- Dans la section Propriétés supplémentaires, cliquez sur Evaluateurs d'ID dignes de confiance.
- Cliquez sur Nouveau pour définir un nouvel évaluateur d'ID dignes de confiance.
La configuration de l'évaluateur d'ID dignes de confiance est disponible uniquement pour le destinataire du jeton côté serveur, au niveau de l'application.
- Facultatif : Sélectionnez l'option Vérifier nonce. Cette option indique s'il convient de vérifier un élément nonce dans le jeton du nom d'utilisateur (username token), s'il est spécifié pour le destinataire du jeton. Nonce est un numéro de chiffrement unique, incorporé dans un message pour aider à arrêter les attaques à répétition et non autorisées des jetons de nom d'utilisateur. L'option Vérifier nonce est valide uniquement lorsque le type de jeton incorporé est un jeton du nom d'utilisateur (username token).
- Facultatif : Sélectionnez l'option Vérifier l'horodatage. Cette option indique s'il convient de vérifier un horodatage dans le jeton du nom d'utilisateur (username token). L'option Vérifier nonce est valide uniquement lorsque le type de jeton incorporé est un jeton du nom d'utilisateur (username token).
- Indiquez le nom local du type de valeur dans la zone Nom local. Cette zone indique le nom local du type de valeur pour le jeton consommé. Pour un jeton de nom d'utilisateur et un jeton de sécurité de certificat X.509, WebSphere
Application Server fournit les noms locaux prédéfinis pour le type de valeur.
Tableau 1. Combinaisons d'URI (Uniform Resource Identifier) et de Nom local. Le nom local indique le type du jeton consommé. URI Nom local Description Un URI d'espace de nom n'est pas applicable. Indiquez http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 pour la valeur du nom local. Indique le nom d'un jeton de certificat X.509 Un URI d'espace de nom n'est pas applicable. Indiquez http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1 pour la valeur du nom local. Indique le nom des certificats X.509 dans un chemin d'accès PKI Un URI d'espace de nom n'est pas applicable. Indiquez http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7 pour la valeur du nom local. Indique la liste des certificats X509 et les listes de retrait de certificats (CRL) dans un PKCS#7 Indiquez http://www.ibm.com/websphere/appserver/tokentype/5.0.2 pour la valeur de l'URI. Indiquez LTPA pour la valeur du nom local. Indique un jeton de sécurité binaire qui contient un jeton LTPA (Lightweight Third Party Authentication) imbriqué. - Facultatif : Indiquez l'URI du type de valeur dans la zone URI. Cette entrée indique l'URI de l'espace de nom du type de valeur pour le jeton consommé.A faire : Si vous spécifiez le destinataire d'un jeton du nom d'utilisateur (username token) ou un jeton de sécurité de certificat X.509, il n'est pas nécessaire de définir un URI de type de valeur.
Pour spécifier un jeton différent, vous devez indiquer à la fois le nom local et l'URI. Par exemple, si vous disposez d'une implémentation de jeton personnalisé, vous pouvez spécifier CustomToken dans la zone Nom local et http://www.ibm.com/custom
- Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
- Cliquez sur le nom de la configuration du destinataire du jeton.
- Dans la section Propriétés supplémentaires, cliquez sur Configuration JAAS. La configuration JAAS (Java Authentication and Authorization Service) indique le nom de la configuration JAAS défini dans le panneau de connexion JAAS. La configuration JAAS indique comment le jeton se connecte côté destinataire.
- Sélectionnez une configuration JAAS dans la zone Nom de configuration
JAAS. Cette zone indique le nom du système JAAS de la configuration de connexion de l'application. Vous pouvez définir des configurations de système JAAS
et d'application supplémentaires en cliquant sur Sécurité globale. Sous Authentification, cliquez sur Java
Authentication and Authorization Service, puis sur Connexions des
applications > Nouveau ou Connexions au système > Nouveau.
Pour plus d'informations sur les configurations JAAS, voir Paramètres de configuration JAAS. Ne supprimez pas les configurations de système ou d'application prédéfinies. Vous pouvez toutefois les modifier en y ajoutant des noms de classe de module et en précisant l'ordre dans lequel WebSphere Application Server doit charger chaque module. WebSphere Application Server fournit les configurations JAAS prédéfinies suivantes :
- ClientContainer
- Cette sélection spécifie la configuration de connexion utilisée par les applications de conteneur client. La configuration utilise l'API CallbackHandler définie dans le descripteur de déploiement du conteneur client. Pour modifier cette configuration, voir les connexions d'application dans le panneau de configuration JAAS.
- WSLogin
- Cette sélection indique si toutes les applications peuvent utiliser la configuration WSLogin pour procéder à l'authentification du module d'exécution de sécurité. Pour modifier cette configuration, voir les connexions d'application dans le panneau de configuration JAAS.
- DefaultPrincipalMapping
- Cette sélection indique la configuration de connexion utilisée par les connecteurs J2C (Java 2 Connectors) pour associer les utilisateurs aux principaux définis dans les entrées de données d'authentification J2C. Pour modifier cette configuration, voir les connexions d'application dans le panneau de configuration JAAS.
- system.LTPA_WEB
- Cette sélection traite les demandes de connexion utilisées par le conteneur Web, par exemple les servlets et les fichiers JSP (JavaServer Pages). Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.RMI_OUTBOUND
- Cette sélection traite les demandes RMI qui sont envoyées à un autre serveur lorsque la
propriété com.ibm.CSIOutboundPropagationEnabled
a pour valeur true. Cette propriété est définie dans le panneau d'authentification CSIv2.
Pour accéder au panneau, cliquez sur Sécurité > Sécurité globale. Dans la section Authentification, cliquez sur Sécurité RMI/IIOP > Authentification des communications sortantes CSIv2. Pour définir la valeur de la propriété com.ibm.CSIOutboundPropagationEnabled, sélectionnez Propagation des attributs de sécurité. Pour modifier cette configuration de connexion JAAS, voir le panneau JAAS - Connexions système.
- system.wssecurity.X509BST
- Cette sélection vérifie un jeton de sécurité binaire (BST) X.509 en contrôlant la validité du certificat et du chemin de certificat. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.wssecurity.PKCS7
- Cette sélection vérifie un certificat X.509 dans un objet PKCS7 susceptible d'inclure une chaîne de certificats, une liste de retrait de certificat ou les deux. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.wssecurity.PkiPath
- Cette section vérifie un certificat X.509 avec un chemin PKI (public key infrastructure). Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.wssecurity.UsernameToken
- Cette sélection vérifie les données d'authentification (nom d'utilisateur et mot de passe) de base. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.wssecurity.IDAssertionUsernameToken
- Cette sélection prend en charge l'utilisation de l'assertion d'identité dans les applications de versions 6 et ultérieures pour mapper un nom d'utilisateur au principal de justificatif de WebSphere Application Server. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.WSS_INBOUND
- Cette sélection définit la configuration de connexion pour les demandes entrantes ou des destinataires relatives à la propagation des jetons de sécurité à l'aide de la sécurité des services Web. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.WSS_OUTBOUND
- Cette sélection définit la configuration de connexion pour les demandes sortantes ou des générateurs relatives à la propagation des jetons de sécurité à l'aide de la sécurité des Services Web. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- Aucun
- Avec cette sélection, vous ne spécifiez pas de configuration de connexion JAAS.
- Cliquez sur OK, puis sur Sauvegarder pour enregistrer la configuration.
Résultats
Que faire ensuite
Sous-rubriques
Paramètre de configuration de la liaison du destinataire de la demande (récepteur)
Cette page de paramètres permet de spécifier la configuration de la liaison pour le destinataire de la demande.Paramètre de configuration de la liaison du destinataire de la réponse (récepteur)
Cette page de paramètres permet de spécifier la configuration de la liaison pour le destinataire de la réponse.Paramètres de configuration JAAS
Cette page permet d'indiquer le nom de la configuration JAAS (Java Authentication and Authorization Service) définie dans le panneau de connexion JAAS.Paramètre de configuration de la liaison du destinataire de la demande (récepteur)
Cette page de paramètres permet de spécifier la configuration de la liaison pour le destinataire de la demande.Paramètre de configuration de la liaison du destinataire de la réponse (récepteur)
Cette page de paramètres permet de spécifier la configuration de la liaison pour le destinataire de la réponse.Paramètres de configuration JAAS
Cette page permet d'indiquer le nom de la configuration JAAS (Java Authentication and Authorization Service) définie dans le panneau de connexion JAAS.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokenconsapp
Nom du fichier : twbs_configtokenconsapp.html