LTPA (Lightweight Third Party Authentication)

L'authentification LTPA (Lightweight Third Party Authentication) est conçue pour les environnements comportant plusieurs machines et serveurs d'applications. Elle prend en charge les justificatifs transmissibles et SSO (connexion unique). LTPA peut prendre en charge la sécurité dans un environnement réparti via la cryptographie. Ainsi, LTPA peut chiffrer, générer des signatures numériques et transmettre de manière sécurisée les données liées à l'authentification, puis déchiffrer et vérifier la signature.

Le protocole LTPA permet aux serveurs d'applications répartis dans plusieurs noeuds et cellules de communiquer de façon sécurisée. Il fournit par ailleurs la fonction de connexion unique (SSO) avec laquelle un utilisateur peut être authentifié une seule fois dans un domaine DNS et accéder aux ressources dans d'autres cellules WebSphere Application Server sans autre intervention. Les noms de domaine sur chaque système du domaine DNS respectent la distinction entre les majuscules et les minuscules et doivent être exactement identiques.

[IBM i][AIX HP-UX Solaris]Pour le système d'exploitation local, le nom de domaine est identique au nom d'hôte.

[Windows]Pour le système d'exploitation local, le "nom de domaine" est soit le nom du domaine, si un domaine est utilisé, soit le nom de la machine.

Pour le protocole LDAP (Lightweight Directory Access Protocol), le nom de domaine correspond à la valeur hôte:port du serveur LDAP.

Le protocole LTPA utilise des clés de chiffrement pour chiffrer et déchiffrer les données utilisateur échangées par les serveurs. Ces clés doivent être partagées entre les différentes cellules pour autoriser le partage des ressources contenues dans chacune d'elles, sous réserve que ces cellules utilisent le même registre LDAP ou registre personnalisé.

Avec LTPA, un jeton signé par les clés est créé avec les informations utilisateur et possède une date d'expiration. Le jeton LTPA possède une date d'expiration. L'heure et la date de tous les serveurs du produit participant dans un domaine de protection doivent être synchronisés. Sinon, les jetons LTPA semblent être arrivés prématurément à expiration et l'authentification ou la validation échoue. L'heure universelle coordonnée (UTC) est utilisée par défaut et toutes les autres machines doivent avoir la même heure UTC. Pour savoir comment le vérifier, consultez la documentation de votre système d'exploitation.

Ce jeton est transmis aux autres serveurs, dans la même cellule ou dans une autre, par le biais de cookies, pour les ressources Web si SSO est activée, ou par le biais de la couche du protocole d'authentification pour les beans enterprise.

Si les serveurs de réception partagent les mêmes clés que le serveur émetteur, le jeton peut être déchiffré pour obtenir des informations utilisateur. Ces dernières sont ensuite validées pour vérifier qu'elles n'ont pas expiré et que les informations contenues dans le jeton sont valides dans le registre. Si la validation aboutit, les ressources sur les serveurs de réception sont accessibles après autorisation.

Chaque serveur doit disposer de justificatifs valides. Quand les justificatifs expirent, le serveur doit communiquer avec le registre d'utilisateurs pour s'authentifier. Les indisponibilités du registre d'utilisateurs peuvent entraîner le blocage des processus du serveur ; dans ce cas, ils doivent être redémarrés pour être restaurés. L'augmentation de la durée de la mise en cache du jeton LTPA permet de réduire ce risque, mais implique un risque de sécurité légèrement plus élevé au moment de la définition des stratégies de sécurité.

Tous les processus WebSphere Application Server d'une cellule (gestionnaire de déploiement, noeuds, serveurs d'applications) partagent le même ensemble de clés. Si deux cellules différentes doivent se partager les mêmes clés, exportez ces dernières d'une cellule puis importez-les sur l'autre. Pour des raisons de sécurité, les clés exportées sont chiffrées à l'aide d'une clé générée de manière aléatoire et un mot de passe défini par l'utilisateur est utilisé pour protéger les clés. Ce mot de passe est également nécessaire au moment de l'importation des clés dans une autre cellule. Le mot de passe est uniquement utilisé pour protéger les clés et non pour les générer.

WebSphere Application Server prend en charge les protocoles LTPA et Kerberos.

Lorsque la sécurité est activée au cours de la création du profil, LTPA est configuré par défaut.

LTPA exige que le registre d'utilisateurs configuré soit un référentiel partagé de manière centralisée, tel que le registre de type de domaine Windows ou LDAP, afin que les utilisateurs et groupes soient les mêmes quelle que soit la machine.

[IBM i]L'utilisation de LTPA avec le registre d'utilisateurs du système d'exploitation local ne s'applique qu'aux configurations où tous les serveurs se trouvent sur le même système.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ltpa
Nom du fichier : csec_ltpa.html