Propagation de jeton de sécurité des services Web

La sécurité des services Web peut envoyer des jetons de sécurité à l'en-tête de sécurité d'un message SOAP. Ces jetons de sécurité peuvent être utilisés pour signer, vérifier, chiffrer ou déchiffrer des parties de message. Les jetons de sécurité peuvent aussi être envoyés en tant que jetons de sécurité autonomes et définis en tant qu'appelant du destinataire de la demande. La propagation des jetons de sécurité des services Web permet d'envoyer ces jetons autonomes dans un élément wsse:BinarySecurityToken sans en-tête de sécurité du message SOAP.

La sécurité des services Web contient les types de jetons intégrés suivants :
  • Jeton de nom d'utilisateur
  • Jeton X.509
  • Jeton LDAP (Lightweight Third-Party Authentication)

Vous pouvez configurer la sécurité des services Web de manière qu'ils utilisent des jetons de sécurité personnalisés. La sécurité des services Web utilise le même format de jeton de propagation que celui utilisé par la fonction de propagation des attributs de sécurité. La sécurité des services Web peut propager tous les types de jetons de sécurité intégrés et tous les types de jetons personnalisés dès lors qu'ils sont sérialisables par la fonction de propagation des attributs de sécurité.

Quand vous configurez un jeton de propagation dans un générateur de jetons ou un consommateur de jetons, utilisez les valeurs suivantes pour définir le nom local et l'URI (Uniform Resource Identifier) du type de jeton :
  • URI de type de jeton : http://www.ibm.com/websphere/appserver/tokentype
  • Nom local de type de jeton : LTPA_PROPAGATION

Quand un jeton de propagation est généré, WS-Security collecte tous les jetons de sécurité sérialisables dans le sujet RunAs pour l'unité d'exécution en cours et les sérialise dans un jeton wsse:BinarySecurityToken. Pour disposer d'un sujet RunAs et des données d'identification requises sur l'unité d'exécution en cours, une connexion JAAS doit être établie avec l'unité d'exécution en cours pour que le jeton de propagation soit créé.

Dans des conditions ordinaires, pour un fournisseur de services, la connexion JAAS (Java Authentication and Authorization Service) est établie en ajoutant une partie appelant définie pour le jeton entrant dans la configuration de WS-Security. Pour un client de service Web, la connexion JAAS est établie en configurant l'authentification de base HTTP.

Un jeton de propagation peut s'utiliser de deux façons :
  • Un client propage, depuis un service sécurisé, les jetons de sécurité sérialisables et les données d'identification du sujet RunAs en cours vers un serveur en aval.
  • Un client basé sur serveur, qui est sécurisé dans le conteneur web par l'authentification de base HTTP, peut utiliser un jeton de propagation.

    Pour un client basé sur serveur, la charge des jetons de propagation n'est pas nécessaire, car seule l'identité est demandée et pas toutes les données d'identification. Toutefois, si l'application client modifie le sujet après son appel par le conteneur web, il peut être approprié d'utiliser un jeton de propagation. Si un jeton d'identité suffit, un jeton LTPA ordinaire peut s'avérer approprié. Vous pouvez générer ce jeton LTPA depuis le sujet RunAs créé par la connexion JAAS.

Important : Pour que le destinataire du jeton de propagation LTPA puisse utiliser correctement les données d'identification reçues dans ce jeton de propagation, vous devez configurer et définir une partie appelante pour le jeton dans la configuration WS-Security du côté du destinataire.

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_securitytokenpropagationwbs
Nom du fichier : cwbs_securitytokenpropagationwbs.html