Liaison par défaut

Les informations de liaison par défaut sont définies dans le fichier ws-security.xml et peuvent être administrées via la console d'administration ou à l'aide de scripts. Seules les liaisons par défaut des applications JAX-RPC sont prises en charge. Les liaisons par défaut des applications JAX-WS ne sont pas prises en charge.

Important : Il existe une différence importante entre les applications version 5.x, version 6 et versions ultérieures. Les informations dans cet article concernent uniquement les applications version 5.x utilisées avec WebSphere Application Server version 6.0.x ou ultérieure. Elles ne s'appliquent pas aux applications version 6 ou ultérieure. De plus, les ensembles de règles ne peuvent être utilisés qu'avec les applications JAX-WS. Ils ne peuvent pas être utilisés pour les applications JAX-RPC.
Certaines applications peuvent partager des informations de liaison. Ces informations incluent des fichiers de clés certifiées, des fichiers de clés et des méthodes d'authentification (validation de jeton). WebSphere Application Server fournit le support pour les informations de liaison par défaut. Les administrateurs peuvent définir les informations de liaison :
  • au niveau du serveur
  • au niveau de la cellule
Les applications peuvent faire référence à ces informations de liaison.

Vous pouvez définir les informations de liaison suivantes dans le fichier ws-security.xml :

Ancrages sécurisés (fichier de clés certifiées)
  • Les ancrages sécurisés contiennent des informations de configuration des fichiers de clés qui contiennent des certificats racine dignes de confiance. Les ancrages sécurisés sont utilisés pour la validation du chemin d'accès aux certificats des jetons de sécurité X.509 entrants.
  • Le nom de l'ancrage sécurisé est utilisé dans le fichier de liaisons (ibm-webservices-bnd.xmi et ibm-webservicesclient-bnd-xmi lorsque les services Web s'exécutent en tant que client) pour faire référence à l'ancrage sécurisé défini dans les informations de liaison par défaut. Le nom de l'ancrage sécurisé doit être unique dans la collection d'ancrages sécurisés.
Magasin de certificats de collection
  • Le magasin de certificats de collection spécifie une liste de certificats intermédiaires non sécurisés et est utilisé pour la validation du chemin d'accès aux certificats des jetons de sécurité X.509 entrants. Le fournisseur par défaut est IBMCertPath.
  • Le nom du magasin de certificats est utilisé dans le fichier de liaisons (ibm-webservices-bnd.xmi et ibm-webservicesclient-bnd-xmi lorsque les services Web s'exécutent en tant que client) pour faire référence au magasin de certificats défini dans les informations de liaison par défaut. Le nom du magasin de certificats doit être unique dans la collection du magasin de certificats.
Localisateurs de clé
  • Les releveurs de coordonnées de clé définissent l'implémentation de l'interface com.ibm.wsspi.wssecurity.config.KeyLocator. Cette interface permet d'extraire les clés de signature ou de chiffrement. Les implémentations client peuvent étendre l'interface du releveur de coordonnées de clé pour extraire des clés à l'aide d'autres méthodes. WebSphere Application Server fournit des implémentations permettant d'extraire une clé du fichier de clés, de mapper une identité authentifiée vers une clé du fichier de clés ou d'extraire une clé du certificat signataire (le mappage et l'extraction d'action sont utilisés lors du chiffrement de la réponse).
  • Le nom du releveur de coordonnées de clé est utilisé dans le fichier de liaisons (ibm-webservices-bnd.xmi et ibm-webservicesclient-bnd-xmi lorsque les services Web s'exécutent en tant que client) pour faire référence au releveur de coordonnées de clé défini dans les informations de liaison par défaut. Le nom du releveur de coordonnées de clé doit être unique pour la collection de releveurs de coordonnées de clé dans les informations de liaison par défaut.
Evaluateurs d'ID dignes de confiance
  • Les évaluateurs d'ID dignes de confiance constituent une implémentation de l'interface com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator. Cette interface permet de vous assurer que l'autorité de vérification des identités (ID) est digne de confiance. De plus, vous pouvez étendre l'évaluateur de l'identité digne de confiance afin de valider la sécurisation. WebSphere Application Server fournit une implémentation par défaut pour la validation de la sécurisation en fonction d'une liste prédéfinie d'identités.
  • Le nom de l'évaluateur d'ID digne de confiance est utilisé dans le fichier de liaisons (ibm-webservices-bnd.xmi) pour faire référence à l'évaluateur de l'identité digne de confiance défini dans les informations de liaison par défaut. Le nom de l'évaluateur d'ID digne de confiance doit être unique dans la collection d'évaluateurs d'ID dignes de confiance.
Mappages de connexion
  • Les mappages de connexion définissent le mappage de la méthode d'authentification vers la configuration de connexion JAAS (Java™ Authentication and Authorization Service). Les mappages permettent d'authentifier le jeton de sécurité entrant intégré dans l'en-tête de message SOAP (Simple Object Access Protocol) de la sécurité des services Web. La configuration de connexion JAAS est définie dans la console d'administration sous Sécurité > Sécurité globale > JAAS (Java Authentication and Authorization Service) > Connexions des applications.
  • WebSphere Application Server définit les méthodes d'authentification suivantes :
    BasicAuth
    Authentifie le nom d'utilisateur et le mot de passe.
    Signature
    Mappe le nom distinctif (DN) du certificat vers un justificatif WebSphere Application Server.
    IDAssertion
    Mappe l'identité vers un justificatif WebSphere Application Server.
    LTPA
    Authentifie un jeton LTPA (Lightweight Third Party Authentication).
    Après l'authentification de l'identité, le justificatif associé est utilisé dans l'appel en aval.
  • Cette méthode peut être développée afin d'authentifier les jetons de sécurité personnalisés en fournissant une configuration de connexion JAAS personnalisée et en utilisant com.ibm.wsspi.wssecurity.auth.module.WSSecurityMappingModule pour créer le principal et le justificatif requis par WebSphere Application Server.
  • Si LoginConfig (AuthMethod) est défini dans le descripteur de déploiement d'extension IBM® (ibm-webservices-ext.xmi), mais qu'il n'existe aucune liaison de mappage de connexion (ibm-webservices-bnd.xmi) définie pour la méthode AuthMethod, l'environnement d'exécution de la sécurité des Services Web utilise le mappage de connexion défini dans les informations de liaison par défaut.
[AIX Solaris HP-UX Linux Windows][z/OS]

WebSphere Application Server, Network Deployment

Lorsque WebSphere Application Server est fédéré dans une cellule WebSphere Application Server, Network Deployment, le fichier de liaisons par défaut (ws-security.xml) du serveur est ajouté à la nouvelle cellule (avec d'autres informations de configuration niveau serveur). Si vous utilisez la liaison par défaut de niveau cellule, les entrées de la liaison par défaut de niveau serveur doivent être supprimées.

Il existe une liaison par défaut de niveau cellule (ws-security.xml) pour l'installation WebSphere Application Server, Network Deployment. De plus, pour l'installation WebSphere Application Server, Network Deployment, la liaison de niveau serveur est facultative. Pour accéder à la liaison par défaut de niveau cellule dans la console d'administration, cliquez sur Sécurité > Services Web.
Figure 1. Informations de liaison par défaut de niveau serveur, de niveau cellule et de niveau application de la sécurité des Services WebInformations de liaison par défaut de niveau serveur, de niveau cellule et de niveau application de la sécurité des Services Web

L'ordre des informations de liaison par défaut est liaison de niveau application, liaison par défaut de niveau serveur et de niveau cellule.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_defbnd
Nom du fichier : cwbs_defbnd.html