Paramètres de connexion unique

Cette page permet de définir les valeurs de configuration pour la connexion unique (SSO).

Pour afficher cette page de la console d'administration, procédez comme suit :
  1. Cliquez sur Sécurité > Sécurité globale.
  2. Sous Authentification, cliquez sur Sécurité Web et SIP > Connexion unique (SSO).

La case à cocher Associer les cookies de sécurité à la valeur HTTPOnly pour éviter les attaques de script CSS a été ajoutée à la page des paramètres de connexion unique (SSO) de cette édition. L'attribut HttpOnly est un attribut de navigation créé pour empêcher les applications client (telles que les scripts Java™) d'accéder aux cookies pour éliminer des failles de scriptage intersites. Il indique que les cookies LTPA et WASReqURL incluent la zone HTTPOnly.

Activé

Indique que la fonction de connexion unique est activée.

Les applications Web qui utilisent les pages de connexion de style Java EE FormLogin, telles que la console d'administration, exigent que la fonction SSO soit activée. Désactivez SSO uniquement pour certaines configurations avancées dans lesquelles les cookies de type SSO LTPA ne sont pas requis.

Informations Value
Type de données : Booléen
Valeur par défaut Activé
Portée Activé ou désactivé

SSL requis

Indique si la fonction SSO est activée uniquement lorsque les demandes sont transmises via les connexions SSL HTTPS. Lorsque cette propriété est activée, la sécurité est automatiquement activée.

Informations Value
Type de données : Booléen
Valeur par défaut Désactivée
Portée Activée ou Désactivée

Nom du domaine

Indique le nom de domaine (.ibm.com, par exemple) pour tous les hôtes SSO (single sign-on).

Le serveur d'applications utilise toutes les informations après la première période, de gauche à droite, pour les noms de domaine. Si cette zone n'est pas renseignée, le navigateur Web utilise par défaut le nom de l'hôte sur lequel est exécutée l'application Web comme nom de domaine. De même, la connexion unique est alors restreinte au nom d'hôte du serveur d'applications et ne fonctionne pas avec d'autres noms d'hôte de serveur d'applications dans le domaine.

Vous pouvez indiquer plusieurs domaines en les séparant par un point-virgule (;), un espace ( ), une virgule (,) ou le signe (|). Chaque domaine est comparé avec le nom d'hôte de la demande HTTP jusqu'à ce que la première correspondance soit trouvée. Par exemple, si vous spécifiez ibm.com;austin.ibm.com et que le système détecte une correspondance dans le domaine ibm.com en premier, le serveur d'applications ne recherche pas le domaine austin.ibm.com. Cependant, si aucune correspondance n'est détectée ni dans ibm.com ni dans austin.ibm.com, le serveur d'applications ne définit pas de domaine pour le cookie LtpaToken.

Eviter les incidents Eviter les incidents:
  • Le gestionnaire de session utilise un générateur aléatoire sécurisé pour générer un ID session. L'ID session est écrit dans le cookie lorsque ce dernier est créé dans la méthode setCookie. Le gestionnaire de session ne paramètre pas LtpaToken sur des cookies.
  • L'utilisation de plusieurs noms de domaine dans la zone Nom du domaine ne permet pas forcément d'utiliser différents noms de domaine au cours d'une session unique. Par exemple, si un nom de domaine contient la valeur ibm.com;lotus.com, vous ne pouvez accéder à un serveur que par le biais d'une connexion unique réussie à l'adresse www.ibm.com ou à l'adresse www.lotus.com, mais pas d'une connexion unique réussie aux deux adresses, car le navigateur contrôle s'il est nécessaire d'envoyer le cookie LTPA ou non.
gotcha

Si vous spécifiez la valeur UseDomainFromURL, le serveur d'applications définit la valeur du nom de domaine SSO sur le domaine de l'hôte utilisé dans l'adresse Web. Par exemple, si une demande HTTP provient de server1.raleigh.ibm.com, le serveur d'applications définit la valeur du nom de domaine SSO sur raleigh.ibm.com.

Conseil : La valeur UseDomainFromURL ne dépend pas des majuscules/minuscules. Vous pouvez entrer usedomainfromurl pour utiliser cette valeur.
Informations Value
Type de données : String (chaîne)

Mode interopérabilité

Indique qu'un cookie interopérable est envoyé au navigateur pour prendre en charge les serveurs antérieurs.

Dans WebSphere Application Server version 6 et version supérieure, un nouveau format de cookie est nécessaire pour la fonctionnalité de propagation des attributs de sécurité. Lorsque l'indicateur de mode d'interopérabilité est activé, le serveur peut renvoyer un maximum de deux cookies SSO au navigateur. Dans certains cas, le serveur envoie seulement le cookie SSO interopérable.

Propagation des attributs de sécurité entrants Web

Lorsque cette option est activée, les attributs de sécurité sont propagés vers les serveurs d'applications frontaux. Lorsque cette option est désactivée, le jeton SSO (Single Sign-On) est utilisé pour la connexion et la création du sujet à partir du registre d'utilisateurs.

Si le serveur d'applications est un membre d'un cluster et que ce cluster est configuré avec un domaine DRS (Data Replication Service), la propagation a lieu. Si DRS n'est pas configuré, le jeton SSO contient les informations du serveur d'origine.

Grâce à ces informations, le serveur de réception peut contacter le serveur d'origine à l'aide d'un appel MBean pour extraire les attributs de sécurité sérialisés d'origine.

Associer les cookies de sécurité à la valeur HTTPOnly pour éviter les attaques de script CSS

L'attribut HttpOnly est un attribut de navigateur créé pour empêcher les applications côté client (scripts Java, par exemple) d'accéder aux cookies pour éviter les attaques de script CSS. Il indique que les cookies LTPA et WASReqURL incluent la zone HTTPOnly.

Pour les cookies de session, consultez les paramètres de session pour les serveurs, les applications et les modules Web.

Informations Value
Type de données : Booléen
Valeur par défaut Activé
Portée Activé ou désactivé

Nom de cookie LTPA V2

Utilisez cette zone pour définir les nouvelles propriétés personnalisées com.ibm.websphere.security.customLTPACookieName et com.ibm.websphere.security.customSSOCookieName.

La propriété personnalisée com.ibm.websphere.security.customLTPACookieName permet de personnaliser le nom des cookies utilisés pour les jetons LTPA (Lightweight Third Party Authentication).

La propriété personnalisée com.ibm.websphere.security.customSSOCookieName permet de personnaliser le nom des cookies utilisés pour les jetons LTPA2 (Lightweight Third Party Authentication Version 2).

Pour plus d'informations sur chaque propriété, voir la rubrique Propriétés personnalisées de sécurité.


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_sso
Nom du fichier : usec_sso.html