Présentation de la configuration de plateforme et des liaisons
La stratégie de sécurité des Services Web est indiquée dans l'extension IBM® des descripteurs de déploiement des services Web lors de l'utilisation du modèle de programmation JAX-RPC et dans des ensembles de règles lors de l'utilisation du modèle de programmation JAX-WS. Les informations de liaison pour la prise en charge de la stratégie de sécurité des services Web sont stockées dans l'extension IBM des descripteurs de déploiement des services Web pour les modèles de programmation JAX-RPC et JAX-WS.
En raison de la complexité de ces fichiers, il n'est pas recommandé d'éditer manuellement le descripteur de déploiement et les fichiers de liaisons à l'aide d'un éditeur de texte car cela est susceptible de provoquer des erreurs. Il est toutefois recommandé d'utiliser les outils fournis par IBM pour configurer les contraintes de sécurité des services Web d'une application. Ces outils sont la console d'administration de WebSphere Application Server ou un outil d'assemblage. Pour plus d'informations sur les outils d'assemblage IBM, voir les informations relatives aux outils d'assemblage.
Vous pouvez utiliser la fonction d'ensemble de règles de WebSphere Application Server pour simplifier votre configuration de services Web, car les ensembles de règles regroupent les paramètres de sécurité et les autres paramètres des services Web dans des unités réutilisables. Les ensembles de règles sont des assertions relatives à la façon dont la qualité des services est définie. Un ensemble de règles intègre des types de règles et leurs paramètres.
Outre le descripteur de déploiement d'application et les fichiers de liaisons, WebSphere Application Server Versions 6 ou ultérieure possèdent une configuration au niveau de la cellule et une configuration au niveau du serveur. Ces configurations sont globales pour toutes les applications. Etant donné que WebSphere Application Server Version 6 et les versions suivantes prennent en charge les applications version 5.x, certaines configurations sont valides uniquement pour les applications version 5.x et d'autres uniquement pour les applications version 6 ou ultérieure.
La figure suivante représente la relation qui existe entre le descripteur de déploiement d'application et les fichiers de liaisons et la configuration au niveau de la cellule (WebSphere Application Server, Network Deployment uniquement) ou du serveur.
Configuration de plateforme
- Délai de la mémoire cache Nonce
- Cette option, disponible au niveau de la cellule (WebSphere Application Server, Network Deployment uniquement) et du serveur, indique la valeur de délai de la mémoire cache Nonce, en secondes.
- Age maximal de l'élément nonce
- Cette option, disponible au niveau de la cellule (WebSphere Application Server, Network Deployment uniquement) et du serveur, indique le cycle de vie par défaut de l'élément nonce, en secondes.
- Décalage d'horloge nonce
- Cette option, disponible au niveau de la cellule (WebSphere Application Server, Network Deployment uniquement) et du serveur, indique le décalage d'horloge par défaut qu'il faut en prendre en compte pour le retard réseau, le retard de traitement, etc. Elle permet de calculer à quel moment l'élément arrive à expiration. L'unité de mesure utilisée est la seconde.
- Distribuer la mise en cache de Nonce
- Cette fonction permet de distribuer la cache de l'élément nonce sur différents serveurs d'un cluster. Elle est disponible pour WebSphere Application Server Version 6.0.x et les versions suivantes.
- Localisateur de clé
- Cette fonction indique si les clés sont extraites pour la signature, le chiffrement et le déchiffrement. Les classes d'implémentation du releveur de coordonnées de clé sont différentes dans WebSphere Application Server Versions 6 et les versions suivantes et la version 5.x.
- Magasin de certificats de collection
- Cette fonction indique le magasin de certificats pour la validation du chemin d'accès aux certificats. Elle est généralement utilisée pour valider les jetons X.509 au cours de la vérification de la signature ou de la création du jeton X.509 avec une liste de retrait de certificat encodée au format PKCS#7. Cette liste est prise en charge uniquement par les applications WebSphere Application Server Version 6.x et suivantes uniquement.
- Points d'ancrage dignes de confiance
- Cette fonction indique le niveau de sécurisation du certificat auto-signé et elle est généralement utilisée dans la validation du jeton X.509 au cours de la vérification de la signature.
- Evaluateurs d'ID dignes de confiance
- Cette fonction indique comment vérifier le niveau de sécurisation de l'identité. Cette fonction est utilisée avec la vérification d'identité.
- Mappages de connexion
- Cette fonction indique la liaison de la configuration de connexion aux méthodes d'authentification. Elle est utilisée uniquement par les applications WebSphere Application Server Version 5.x uniquement et elle est obsolète.
Liaisons par défaut
La configuration des liaisons au niveau de cellule par défaut et au niveau du serveur par défaut a été modifiée dans WebSphere Application Server. Auparavant, vous ne pouviez configurer qu'un seul ensemble de liaisons par défaut pour la cellule et éventuellement un ensemble de liaisons par défaut pour chaque serveur. Dans les versions 7.0 et ultérieures, vous pouvez configurer une ou plusieurs liaisons générales de fournisseur et une ou plusieurs liaisons générales du client. Cependant, une seule liaison générale de fournisseur et une seule liaison générale de client peuvent être désignées comme valeur par défaut.
La figure suivante décrit la relation entre le fichier EAR et le fichier ws-security.xml.
Les fichiers EAR 1 et EAR 2 des applications ont des liaisons spécifiques dans le fichier de liaisons d'application. En revanche, les fichiers EAR 3 et EAR 4 des applications ne comportent pas de liaison dans le fichier de liaisons d'application ; ils doivent être référencés pour utiliser les liaisons par défaut définies dans le fichier ws-security.xml. La configuration est résolue en utilisant celle qui est la plus proche dans la hiérarchie. Il est possible, par exemple, que trois releveurs de coordonnées de clé appelés mykeylocator soient définis dans le fichier de liaisons d'application, au niveau du serveur et au niveau de la cellule.
Si mykeylocator est référencé dans la liaison d'application, le releveur de coordonnées de clé défini dans la liaison d'application est utilisé. La portée de visibilité des données dépend de l'emplacement où elles sont définies. Si les données sont définies dans la liaison d'application, la visibilité s'étend à cette application. Si les données sont définies au niveau du serveur, la visibilité s'étend à toutes les applications déployées sur ce serveur. Si les données sont définies au niveau de la cellule, la visibilité s'étend à toutes les applications déployées sur les serveurs de cette cellule. En général, si les données ne sont pas conçues pour être partagées par d'autres applications, définissez la configuration au niveau de la liaison d'application.
La figure suivante décrit les relations des liaisons au niveau de l'application, du serveur et de la cellule (WebSphere Application Server, Network Deployment uniquement).
Liaisons générales
Les liaisons générales sont utilisées comme liaisons par défaut au niveau de la cellule ou au niveau du serveur. Les liaisons générales fournies avec WebSphere Application Server sont à l'origine définies comme liaisons par défaut, mais vous pouvez choisir une autre liaison comme valeur par défaut ou modifier le niveau de la liaison devant être utilisée comme valeur par défaut, par exemple du niveau cellule au niveau serveur.
Dans les versions 7.0 ou ultérieures, il existe deux types de liaison : les liaisons spécifiques à l'application et les liaisons générales. Ces deux types de liaisons sont pris en charge pour les ensembles de règles WS-Security. Les liaisons générales peuvent être partagées par plusieurs applications et pour les associations de service d'accréditation. Il existe deux types de liaisons générales : un pour les fournisseurs de services et un autre pour les clients de services. Plusieurs liaisons générales peuvent être définies pour le fournisseur et également pour le client.