Activation de la vérification d'identité avec validation des relations de confiance à l'aide de JAAS

L'activation de la vérification d'identité avec validation des relations de confiance permet aux applications d'utiliser la configuration de connexion JAAS pour effectuer une vérification d'identité par programmation.

Pourquoi et quand exécuter cette tâche

Pour activer une vérification d'identité avec validation des relations de confiance, procédez comme suit :

Procédure

  1. Créez un module de connexion personnalisé pour effectuer une validation des relations de confiance. Ce module de connexion doit placer les informations sur les identités et les relations de confiance à l'état partagé ; ces informations sont ensuite transmises au module IdentityAssertionLoginModule. Elles sont stockées dans une mappe à l'état partagé, sous la clé com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.state. Si cette clé ne se trouve pas à l'état partagé, une erreur WSLoginFailedException est générée par le module IdentityAssertionLoginModule. Le module de connexion personnalisé doit inclure :
    • une clé sécurisée nommée com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.trusted. Si cette clé a la valeur true, la relation de confiance est établie. Si, par contre, la valeur false lui est attribuée, le module IdentityAssertionLoginModule crée une erreur WSLoginFailedException.
    • l'identité du type java.security.Principal défini dans la clé com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.principal.
    • l'identité sous la forme d'un certificat java,security.cert.X509Certificate[] défini dans la clé com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.certificates.
    Remarque : Si un principal et un certificat sont tous deux fournis, le principal est utilisé et un avertissement est généré.
  2. Créez une nouvelle configuration JAAS (Java™ Authentication and Authorization Service) pour les connexions d'application. Elle contient le module de connexion personnalisé de la validation des relations de confiance implémenté par l'utilisateur et le module IdentityAssertionLoginModule. Pour définir une configuration de connexion d'application à partir de la console d'administration, procédez comme suit :
    1. Cliquez sur Sécurité > Sécurité globale.
    2. Sous Java Authentication and Authorization Service, cliquez sur Connexions d'application > Nouveau.
    3. Entrez la configuration JAAS avec un alias, puis cliquez sur Valider.
    4. Dans Propriétés supplémentaires, cliquez sur Modules de connexion JAAS > Nouveau.
    5. Entrez le nom de classe du module de connexion personnalisé de la validation des relations de confiance implémenté par l'utilisateur, puis cliquez sur Valider.
    6. Entrez le nom de classe du module com.ibm.wsspi.security.common.auth.module.IdentityAssertionLoginModule.
    7. Assurez-vous que les classes des noms de classe du module sont dans l'ordre approprié. Le module de connexion personnalisé de la validation des relations de confiance implémenté par l'utilisateur doit être la première classe de la liste et le module IdentityAssertionLoginModule, la seconde.
    8. Cliquez sur Sauvegarder. La nouvelle configuration JAAS est utilisée par l'application pour vérifier les identités.

Que faire ensuite

Une application peut maintenant utiliser la configuration de connexion JAAS pour vérifier les identités à l'aide d'un programme. L'application peut créer un contexte de configuration pour la configuration JAAS créée à l'étape 2, puis se connecter à ce contexte de connexion avec l'identité qu'elle vérifie. Si la connexion aboutit, l'identité peut être définie dans le processus d'exécution en cours, comme dans l'exemple suivant :
MyCallbackHandler handler = new MyCallbackHandler(new MyPrincipal(“Joe”));
LoginContext lc = new LoginContext(“MyAppLoginConfig”, handler);
lc.login();  //assume successful
Subject s = lc.getSubject();
WSSubject.setRunAsSubject(s);
// Pour la suite, l'identité d'exécution est “Joe”

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_identity_assert
Nom du fichier : tsec_identity_assert.html