Configuration d'associations pour le service d'accréditation à l'aide de la console d'administration

Vous pouvez associer les opérations du service d'accréditation pour un noeud final système à un ensemble de règles et une liaison. Chaque nouveau noeud final indiqué au départ compte quatre opérations : émission, renouvellement, annulation et validation. Par défaut, tous les noeuds finaux héritent l'ensemble de règles et la liaison associés à l'opération correspondante du service d'accréditation sous Valeurs par défaut du service d'accréditation. Vous pouvez toutefois associer de façon explicite un autre ensemble de règles.

Avant de commencer

Vous devez d'abord définir vos ensembles de règles et liaisons. Les règles décrivent la protection ou qualité de service offerte (comme la sécurité des messages, le transport, etc.). Les liaisons fournissent des détails sur le mode d'implémentation de la règle : par exemple, le chemin d'accès au fichier de clés, le nom de la classe du générateur de jeton ou le nom de la configuration JAAS.

Important : Utilisez uniquement les ensembles de règles système avec le service d'accréditation. Le demandeur (client) doit utiliser uniquement les services Web JAX-WS (Java™ for XML-Based Web Services). Les demandeurs qui utilisent JAX-RPC (Java API for XML-based remote procedure calls) sont incompatibles avec la qualité de service des ensembles de règles.

Selon le rôle de sécurité qui vous est affecté lorsque la sécurité est activée, il se peut que vous n'ayez pas accès aux zones de saisie ou aux boutons permettant de créer ou de modifier des données de configuration. Examinez la documentation des rôles administratifs pour en savoir plus sur les rôles valides pour le serveur d'applications.

Pourquoi et quand exécuter cette tâche

Vous pouvez associer les opérations du service d'accréditation pour un nouveau noeud final à un ensemble de règles et une liaison existants. Pour chaque noeud final de service indiqué, quatre services d'accréditation, à savoir : annuler, renouveler, valider et lancer, passent de l'état où ils étaient, celui d'avoir hérité des connexions à l'état explicitement associé. Les quatre opérations sont associées aux ensembles de règles respectifs et aux entités de liaison tel qu'il est spécifié dans les services d'accréditation par défaut. Vous pouvez ensuite modifier l'association en fonction de l'ensemble de règles et de la liaison souhaités.

Un ensemble de règles de noeud final consiste en deux sections : la section amorce et la section application. L'ensemble de stratégies système associé aux opérations de service d'accréditation d'émission et de renouvellement pour un noeud final spécifique doit correspondre à la section amorce de l'ensemble de règles de ce noeud final. L'ensemble de règles système associé aux opérations d'annulation et de validation du service d'accréditation pour un noeud final déterminé doivent correspondre à la section d'application de cet ensemble pour le noeud final en question.

Cette tâche décrit comment gérer les opérations du service d'accréditation pour les URL du noeud final de service à associer à un ensemble de règles système et une liaison. Pour effectuer la configuration du service d'accréditation de WebSphere Application Server, vous devez également effectuer la tâche suivante :

  • Créez ou gérez des cibles. Vous pouvez créer des associations explicites pour les nouveaux noeuds finaux de service (cibles) ou gérer des noeuds finaux auxquels un jeton de sécurité est associé de façon explicite ou qui héritent le jeton Valeur par défaut du service d'accréditation.

Les exemples de liaisons générales fournies avec le produit sont définies à l'origine comme étant les liaisons par défaut de sécurité globale (cellule). La liaison par défaut de fournisseur de services et les liaisons par défaut de client de service sont utilisées lorsqu'aucune liaison propre à l'application ou aucune liaison de service d'accréditation n'est attribuée à une association d'ensembles de règles. Pour les associations de service d'accréditation, les liaisons par défaut sont utilisées lorsqu'aucune liaison spécifique d'accréditation n'est attribuée. Si vous ne souhaitez pas utiliser l'exemple de fournisseur mis à disposition comme liaison de fournisseur de services par défaut, vous pouvez sélectionner une liaison générale de fournisseur existante ou en créer une correspondant à vos besoins. De même, si vous ne souhaitez pas utiliser l'exemple de client fourni comme liaison de client de service par défaut, vous pouvez sélectionner une liaison générale de client existante ou en créer une. Pour spécifier les liaisons par défaut de sécurité globale (cellule), dans la console d'administration, cliquez sur Services > Ensembles de règles > Liaisons de l'ensemble de règles par défaut. Pour les environnements possédant plusieurs domaines de sécurité, vous pouvez choisir les liaisons générales de fournisseur et les liaisons générales de client que vous voulez utiliser comme liaisons par défaut pour un domaine. Pour plus d'informations sur les liaisons par défaut, voir la rubrique Définition des liaisons d'ensemble de règles par défaut.

Procédure

  1. Pour gérer les associations d'ensembles de règles système pour les opérations du service d'accréditation, cliquez sur Services > Service d'accréditation > Associations du service d'accréditation. La liste affiche tous les noeuds finaux possédant au moins une opération avec un ensemble de règles lié, ainsi que Valeurs par défaut du service d'accréditation. Elle présente également l'ensemble de règles système et la liaison pour chaque opération.
  2. Sélectionnez une ou plusieurs des actions suivantes pour configurer les associations du service d'accréditation :
    Nouvelle association
    Ouvrez un nouveau panneau dans lequel vous pouvez indiquer l'URL du noeud final de service. Pour chaque noeud final de service indiqué, quatre services d'accréditation, à savoir : annuler, renouveler, valider et lancer, passent de l'état où ils étaient, celui d'avoir hérité des connexions à l'état explicitement associé. Les quatre opérations sont associées aux ensembles de règles respectifs et aux entités de liaison tel qu'il est spécifié dans les services d'accréditation par défaut. Ces associations initiales sont modifiables.
    Associer
    Affiche la liste des ensembles de règles système existants, y compris les ensembles de règles système liés au service d'accréditation par défaut, auxquels chacune des quatre opérations du service d'accréditation pour un noeud final de service peut être associée. Sélectionnez d'abord l'opération (par exemple, le jeton Annulation), puis cliquez sur Associer pour afficher la liste des ensembles de règles système disponibles. Sélectionnez un ensemble de règles système par défaut ou personnalisé à associer. Lorsque vous modifiez l'association de l'ensemble de règles, la liaison devient automatiquement Par défaut. Sélectionnez l'opération et cliquez sur Affecter une liaison pour modifier la liaison.
    Les ensembles de règles système préconfigurés disponibles incluent :
    • TrustServiceSecurityDefault

      Cet ensemble de règles sécurisées indique l'algorithme asymétrique, ainsi que les clés publiques et privées, pour assurer la sécurisation des messages. L'intégrité des messages est assurée par la signature numérique du corps du message, l'horodatage et les en-têtes d'adressage WS à l'aide de RSA. La confidentialité des messages est assurée par le codage et la signature du corps du message via RSA. Il obéit à la spécification WS-Security pour les demandes d'opérations d'émission et de renouvellement.

    • TrustServiceSymmetricDefault

      Cet ensemble de règles sécurisées indique l'algorithme symétrique, ainsi que les algorithmes de clé dérivés en vue de sécuriser les messages. L'intégrité des messages est assurée par la signature numérique du corps du message, l'horodatage et les en-têtes d'adressage WS à l'aide de HMAC-SHA1. La confidentialité des messages est assurée par le codage et la signature du corps du message via AES. Cet ensemble de règles obéit aux spécifications de sécurité WS-Security et WS-SecureConversation pour les demandes d'opérations sécurisées de validation et d'annulation.

    • SystemWSSecurityDefault

      Cet ensemble de règles système spécifie l'algorithme asymétrique, ainsi que les clés publiques et privées, permettant d'assurer la sécurisation des messages. L'intégrité des messages est assurée par la signature numérique du corps du message, l'horodatage et les en-têtes d'adressage WS à l'aide du chiffrement RSA. La confidentialité des messages est assurée par le codage et la signature du corps du message via le chiffrement RSA.

    Hériter des valeurs par défaut de l'opération
    Définit l'opération devant hériter l'association d'ensemble de règles et la liaison correspondantes du service d'accréditation par défaut. Si vous sélectionnez les associations à modifier et cliquez sur Hériter des valeurs par défaut de l'opération, l'association explicite pour l'ensemble de règles et la liaison est supprimée. L'opération hérite toutes les modifications apportées à l'ensemble de règles et à la liaison du service d'accréditation par défaut.
    Affecter une liaison
    Modifie la liaison existante. Vous pouvez créer et affecter une liaison, affecter une liaison par défaut ou affecter une liaison existante spécifique au service d'accréditation à chaque association du service d'accréditation sélectionnée.
    Mettre à jour la phase d'exécution
    Met à jour l'exécution du service d'accréditation avec les changements de configuration effectués pour les associations du service d'accréditation, les fournisseurs de jetons et les cibles.
  3. Facultatif : Modifiez l'ensemble de règles personnalisé en cliquant sur son nom dans la liste. Modifiez les paramètres pour les ensembles de règles personnalisés, selon vos besoins. Les informations sur les ensembles de règles du service d'accréditation sont en lecture seule.

    Il n'est pas possible de modifier les ensembles de règles par défaut : TrustServiceSecurityDefault, TrustServiceSymmetricDefault et SystemWSSecurityDefault. TrustServiceSecurityDefault est l'ensemble par défaut pour les opérations d'émission et de renouvellement. TrustServiceSymmetricDefault est l'ensemble par défaut pour les opérations d'annulation et de validation.

    Au moins une opération du service d'accréditation pour l'URL du noeud final doit être associée de façon explicite pour l'URL à afficher. Si une opération est associée de façon explicite, le nom de l'ensemble de règles système apparaît. Si aucun ensemble de règles n'est associé de façon explicite, l'ensemble de règles du service d'accréditation par défaut correspondant apparaît, suivi de (hérité).

  4. Facultatif : Modifiez selon requis la liaison propre au service d'accréditation en cliquant sur son nom dans la liste. Modifiez les paramètres de la liaison spropre au service d'accréditation selon requis. Toutes les modifications apportées à une liaison du service d'accréditation s'appliquent à toutes les associations de ce service qui font référence à la liaison en question.

    Si un ensemble de règles est directement associé à la ressource, le nom de la liaison ou Par défaut apparaît.

  5. Sauvegardez vos modifications avant de les appliquer à la configuration d'exécution du service d'accréditation.
  6. Cliquez sur Mettre à jour la phase d'exécution pour mettre à jour la configuration d'exécution du service d'accréditation avec les changements de données pour les fournisseurs de jetons, les associations du service d'accréditation et les cibles. La fenêtre de confirmation s'ouvre uniquement si vous cochez la case Afficher la confirmation de la commande de mise à jour de la phase d'exécution. Développez Préférences pour afficher cette case.
  7. Facultatif : Confirmez ou annulez si la fenêtre de confirmation s'ouvre. Si vous décochez la case Afficher la confirmation de la commande de mise à jour de la phase d'exécution, toutes les modifications s'appliquent immédiatement sans confirmation.

Résultats

Vous avez fourni les informations de base permettant de créer ou de mettre à jour une association du service d'accréditation. Vous avez configuré les associations d'opérations du service d'accréditation à des ensembles de règles système et des liaisons.

Que faire ensuite

Vous pouvez également créer une association pour le service d'accréditation de WebSphere Application Server à l'aide de l'outil wsadmin. Les exemples d'outil wsadmin sont écrits dans le langage de script Jython.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confwstrustattachments
Nom du fichier : twbs_confwstrustattachments.html