Paramètres des jetons de protection (consommateur ou générateur)
Cette page permet de configurer les jetons de protection. Les jetons de protection signent les messages pour préserver leur intégrité ou chiffrent les messages pour garantir leur confidentialité.
Vous pouvez ajouter des paramètres de jeton de protection pour des parties de message lorsque vous modifiez des liaisons générales de l'ensemble de règles du client ou du fournisseur générales. Vous pouvez également configurer des liaisons spécifiques à l'application pour les jetons et les parties de message requis par l'ensemble de règles.
- Cliquez sur .
- Cliquez sur le nom de la liaison que vous voulez modifier.
- Cliquez sur la règle WS-Security dans la table des règles.
- Cliquez sur le lien Authentification et protection dans la section des liaisons de règles de sécurité.
- Cliquez sur Nouveau jeton pour créer un générateur ou un consommateur de jetons ou cliquez sur un lien de consommateur ou de générateur de jetons existant dans la table Jetons de protection.
- Cliquez sur .
- Cliquez sur le nom de la liaison que vous voulez modifier.
- Cliquez sur la règle WS-Security dans la table des règles.
- Cliquez sur le lien Authentification et protection dans la section Liaisons de la règle de sécurité du message principal.
- Cliquez sur Nouveau jeton pour créer un générateur ou un destinataire de jeton ou cliquez sur un lien de jeton de consommateur ou de générateur existant dans la table Jetons de protection.
- Cliquez sur .
- Sélectionnez une application contenant des services Web. Cette application doit contenir un fournisseur de services ou un client de service.
- Cliquez sur le lien Liaisons et ensembles de règles du fournisseur de services ou Liaisons et ensembles de règles de client de services dans la section Propriétés du service Web.
- Sélectionnez une liaison. Au préalable, il est nécessaire d'associer un ensemble de règles et d'affecter une liaison.
- Cliquez sur la règle WS-Security dans la table des règles.
- Cliquez sur le lien Authentification et protection dans la section des liaisons de règles de sécurité.
- Cliquez sur un lien de jeton de consommateur ou de générateur dans la table Jetons de protection.
Cette page de la console d'administration s'applique uniquement aux applications JAX-WS (Java™ API for XML Web Services).
Nom
Indique le nom du générateur ou du destinataire de jeton. Entrez un nom dans cette zone lorsque vous créez un jeton.
Type de jeton
Indique le type de jeton. Lorsque vous utilisez des liaisons, le type de jeton est déterminé par la règle et ne peut pas être modifié.
- LPTA Token V2.0
- Secure Conversation Token V1.3
- Secure Conversation Token V200502
- X509V3 Token V1.1
- X509V3 Token V1.0
- X509PKCS7 Token V1.1
- X509PKCS7 Token V1.0
- X509PkiPathV1 Token V1.1
- X509PkiPathV1 Token V1.0
- X509V1 Token V1.1
- Jeton personnalisé
Appliquer la version du jeton
Si LTPA Token v2.0 est sélectionné comme type de jeton, les jetons LTPA version 1 et LTPA version 2 peuvent être consommés. Cochez cette case pour limiter la consommation de jeton au type de jeton LTPA Token v2.0.
Nom local
Indique le nom local du générateur ou du consommateur du jeton personnalisé. Le contenu de la zone Nom local est fonction du type de jeton affiché. Cette zone permet de modifier uniquement les types de jeton personnalisés.
Si le type de jeton personnalisé est utilisé pour générer un jeton Kerberos conformément à la spécification OASIS Web Services Security pour Kerberos Token Profile V1.1, utilisez l'une des valeurs répertoriées ci-dessous pour son nom local. La valeur que vous choisissez dépend du niveau de spécification du jeton Kerberos généré par le centre de distribution de clés (KDC). Le tableau ci-dessous répertorie chaque valeur et le niveau de spécification qui lui est associé. A des fins d'interopérabilité, la norme Basic Security Profile V1.1 requiert l'utilisation du nom local http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ.
Valeur de nom local pour le jeton Kerberos | Niveau de spécification associé |
---|---|
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ | Kerberos v5 AP-REQ comme défini dans la spécification Kerberos. Utilisez cette valeur lorsque le ticket Kerberos est une requête de programme d'application. |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ | Jeton du mécanisme GSS-API Kerberos V5 contenant un message KRB_AP_REQ comme défini dans RFC-1964 [1964], Sec. 1.1 et son successeur RFC-4121, Sec. 4.1. Utilisez cette valeur lorsque le ticket Kerberos est une requête de programme d'application (ST + Authentificateur). |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 | Kerberos v5 AP-REQ comme défini dans RFC1510. Utilisez cette valeur lorsque le ticket Kerberos est une requête de programme d'application par RFC1510. |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 | Jeton du mécanisme GSS-API Kerberos V5 contenant un message KRB_AP_REQ comme défini dans RFC-1964, Sec. 1.1 et son successeur RFC-4121, Sec. 4.1. Utilisez cette valeur lorsque le ticket Kerberos est une requête de programme d'application (ST + Authentificateur) par RFC1510. |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 | Kerberos v5 AP-REQ comme défini dans RFC4120. Utilisez cette valeur lorsque le ticket Kerberos est une requête de programme d'application par RFC1510. |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 | Jeton du mécanisme GSS-API Kerberos V5 contenant un message KRB_AP_REQ comme défini dans RFC-1964, Sec. 1.1 et son successeur, RFC-4121, Sec. 4.1. Utilisez cette valeur lorsque le ticket Kerberos est une requête de programme d'application (ST + Authentificateur) par RFC4120. |
URI
Indique l'URI (uniform resource identifier) du générateur ou du consommateur du jeton personnalisé. Le contenu de la zone URI est fonction du type de jeton affiché. Cette zone permet de modifier uniquement les types de jeton personnalisés.
Si le type de jeton personnalisé est utilisé pour générer un jeton Kerberos conformément à la spécification OASIS Web Services Security du profil de jeton Kerberos V1.1, laissez la zone vide.
Connexion JAAS
Indique les informations pour la connexion de l'application JAAS (Java Authentication and Authorization Service). Cliquez sur Nouveau pour ajouter une nouvelle connexion d'application JAAS ou entrée de connexion de système JAAS.
Si le serveur réside dans un domaine de sécurité qui inclut des connexions système et d'application spécifiques, ces connexions sont mentionnées dans le menu de connexion JAAS, en plus des connexions globales.
Nouvelle connexion d'application
Cliquez pour accéder à la collection de connexions JAAS effectives pour le domaine de sécurité en cours.
Propriétés personnalisées – Nom
Indique le nom de la propriété personnalisée. Les propriétés personnalisées sont affichées dans cette colonne lorsqu'elles sont ajoutées.
Sélectionnez l'une des actions suivantes pour les propriétés personnalisées :
Bouton | Action résultante |
---|---|
Nouveau | Crée une entrée de propriété personnalisée. Pour ajouter une propriété personnalisée, entrez le nom et la valeur. |
Editer | Indique que la propriété personnalisée sélectionnée peut être modifiée. Sélectionnez cette action pour fournir des zones d'entrée et créer la liste des valeurs de cellule à modifier. Ce bouton est disponible uniquement lorsqu'au moins une propriété personnalisée a été ajoutée. |
Supprimer | Supprime la propriété sélectionnée. |
Nom de la propriété personnalisée | Value |
---|---|
Spécifiez le nom du service cible. com.ibm.wsspi.wssecurity.krbtoken.targetServiceName | Indique le nom du service cible. Cette propriété est obligatoire. |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost | Spécifie le nom de l'hôte associé au service cible dans le format
suivant : myhost.mycompany.com. Cette propriété est obligatoire. |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm | Indique le nom du domaine associé au service
cible. Cette propriété est facultative pour un domaine Kerberos unique. Si la propriété targetServiceRealm n'est pas spécifiée, le nom |
Si une application crée ou consomme un jeton AP_REQ Kerberos V5 pour chaque message de demande des services Web, affectez à la propriété personnalisée com.ibm.wsspi.wssecurity.kerberos.attach.apreq la valeur true dans le créateur de jeton et les liaisons du consommateur de jeton pour cette application. Pour plus d'informations, reportez-vous à la rubrique des conseils de traitement des incidents de sécurité des Services Web.
Propriétés personnalisées – Valeur
Valeur de la propriété personnalisée. Utilisez la zone Valeur pour entrer, modifier ou supprimer la valeur d'une propriété personnalisée.
Gestionnaire d'appel
Lorsque toutes les autres configurations de la page du jeton de protection ont été appliquées ou sauvegardées, cette section s'affiche et fournit un lien vers les paramètres de configuration pour le gestionnaire d'appel. Cliquez sur ce lien pour indiquer les paramètres du gestionnaire d'appel et déterminer le mode d'acquisition des jetons de sécurité à partir des en-têtes des message.
Tolérance du jeton de conversation sécurisée V200502
Le type de jeton de conversation sécurisée V200502 pour la règle WS-Security représente les exigences d'un jeton de conversation sécurisée comme défini dans la spécification WS-SecureConversation de février 2005. Cette option indique si le fournisseur gère le jeton de conversation sécurisée V1.3 et le jeton de conversation sécurisée V200502. Par défaut, le fournisseur gère les deux versions. Vous pouvez modifier ce comportement en cliquant sur la case à cocher pour désélectionner l'option afin que le fournisseur ne gère que le jeton V1.3.
Informations | Value |
---|---|
Type de données | Case à cocher |
Plage | Cochée ou décochée. |
Valeur par défaut | Sélectionnés |