Vous pouvez associer les opérations du service d'accréditation pour un
noeud final système à un ensemble de règles et une liaison. Chaque nouveau noeud
final indiqué au départ compte quatre opérations : émission, renouvellement,
annulation et validation. Par défaut, tous les noeuds finaux héritent l'ensemble de
règles et la liaison associés à l'opération correspondante du service
d'accréditation sous Valeurs par défaut du service d'accréditation. Vous pouvez
toutefois associer de façon explicite un autre ensemble de règles.
Avant de commencer
Vous devez d'abord définir vos ensembles de règles et liaisons. Les règles
décrivent la protection ou qualité de service offerte (comme la sécurité des
messages, le transport, etc.). Les liaisons fournissent des détails sur
le mode d'implémentation de la règle : par exemple, le chemin d'accès au fichier
de clés, le nom de la classe du générateur de jeton ou le nom de la configuration
JAAS.
Important : Utilisez uniquement les ensembles de règles système avec le service d'accréditation. Le demandeur (client) doit
utiliser uniquement les services Web JAX-WS (Java™ for XML-Based Web Services). Les demandeurs
qui utilisent JAX-RPC (Java API for XML-based remote procedure calls)
sont incompatibles avec la qualité de service des ensembles de règles.
Selon le rôle de sécurité qui vous est affecté lorsque la sécurité est activée, il se peut que vous n'ayez pas accès aux zones de saisie ou aux boutons permettant de créer ou de modifier des données de configuration. Examinez la documentation des rôles administratifs
pour en savoir plus sur les rôles valides pour le serveur d'applications.
Pourquoi et quand exécuter cette tâche
Vous pouvez associer les opérations du service d'accréditation pour un
nouveau noeud final à un ensemble de règles et une liaison existants. Pour chaque noeud final de service indiqué, quatre services d'accréditation, à savoir : annuler, renouveler, valider et lancer, passent de l'état où ils étaient, celui d'avoir hérité des connexions à l'état explicitement associé. Les quatre opérations sont associées aux ensembles de règles respectifs et aux entités de liaison tel qu'il est spécifié dans les services d'accréditation par défaut. Vous pouvez ensuite modifier l'association en fonction de l'ensemble de règles et de la liaison souhaités.
Un ensemble de règles de noeud final consiste en deux sections :
la section amorce et la section application. L'ensemble de stratégies système associé aux opérations de service d'accréditation d'émission et de renouvellement pour un noeud final spécifique doit correspondre à la section amorce de l'ensemble de règles de ce noeud final. L'ensemble
de règles système associé aux opérations d'annulation et de validation du service
d'accréditation pour un noeud final déterminé doivent correspondre à la section
d'application de cet ensemble pour le noeud final en question.
Cette tâche
décrit comment gérer les opérations du service d'accréditation pour les URL du
noeud final de service à associer à un ensemble de règles système et une liaison. Pour effectuer la configuration
du service d'accréditation de WebSphere Application
Server, vous devez également effectuer la tâche suivante :
- Créez ou gérez des cibles. Vous pouvez créer des associations explicites pour
les nouveaux noeuds finaux de service (cibles) ou gérer des noeuds finaux
auxquels un jeton de sécurité est associé de façon explicite ou qui héritent
le jeton Valeur par défaut du service d'accréditation.
Les exemples de liaisons générales fournies avec le produit sont définies à l'origine
comme étant les liaisons par défaut de sécurité globale (cellule).
La liaison par défaut de fournisseur de services et les liaisons par défaut de client de service sont utilisées lorsqu'aucune liaison propre à l'application ou aucune liaison de service d'accréditation n'est attribuée à une association d'ensembles de règles. Pour les associations de service d'accréditation, les liaisons par défaut sont utilisées lorsqu'aucune liaison spécifique d'accréditation n'est attribuée. Si vous ne souhaitez pas utiliser l'exemple de fournisseur mis à disposition comme liaison de fournisseur de services par défaut, vous pouvez sélectionner une liaison générale de fournisseur existante ou en créer une correspondant à vos besoins. De même, si vous ne souhaitez pas utiliser l'exemple de client fourni comme liaison de client de service par défaut, vous pouvez sélectionner une liaison générale de client existante ou en créer une. Pour spécifier les liaisons par défaut de sécurité globale (cellule), dans la console d'administration, cliquez sur .
Pour
les environnements possédant plusieurs domaines de sécurité, vous pouvez choisir
les liaisons générales de fournisseur et les liaisons générales de client que vous voulez utiliser comme liaisons par défaut pour un domaine. Pour plus d'informations sur les liaisons par défaut, voir la rubrique Définition des liaisons d'ensemble de règles par défaut.
Procédure
- Pour gérer les associations d'ensembles de règles système pour les opérations
du service d'accréditation, cliquez sur . La liste affiche tous les noeuds finaux possédant au moins une opération avec
un ensemble de règles lié, ainsi que Valeurs par défaut du service
d'accréditation. Elle présente également l'ensemble de règles système et la liaison
pour chaque opération.
- Sélectionnez une ou plusieurs des actions suivantes pour configurer les
associations du service d'accréditation :
- Nouvelle association
- Ouvrez un nouveau panneau dans lequel vous pouvez indiquer l'URL du noeud
final de service.
Pour chaque noeud final de service indiqué, quatre services d'accréditation, à savoir : annuler, renouveler, valider et lancer, passent de l'état où ils étaient, celui d'avoir hérité des connexions à l'état explicitement associé. Les quatre opérations sont associées aux ensembles de règles respectifs et aux entités de liaison tel qu'il est spécifié dans les services d'accréditation par défaut. Ces associations initiales sont modifiables.
- Associer
- Affiche la liste des ensembles de règles système existants, y compris les ensembles de règles système liés au service d'accréditation par défaut,
auxquels chacune des quatre opérations du service d'accréditation pour un
noeud final de service peut être associée. Sélectionnez d'abord l'opération
(par exemple, le jeton Annulation), puis cliquez sur Associer pour afficher
la liste des ensembles de règles système disponibles. Sélectionnez un ensemble
de règles système par défaut ou personnalisé à associer. Lorsque vous modifiez
l'association de l'ensemble de règles, la liaison devient automatiquement
Par défaut.
Sélectionnez l'opération et cliquez sur Affecter une
liaison pour modifier la liaison.
Les ensembles de règles système
préconfigurés disponibles incluent :
- TrustServiceSecurityDefault
Cet ensemble de règles sécurisées indique l'algorithme asymétrique, ainsi que les clés publiques et privées, pour assurer la sécurisation des messages. L'intégrité des messages est assurée par la signature numérique du corps du message, l'horodatage et les en-têtes d'adressage WS à l'aide de RSA.
La confidentialité des messages est assurée par le codage et la signature du corps du message via RSA. Il
obéit à la spécification WS-Security pour les demandes d'opérations d'émission et
de renouvellement.
- TrustServiceSymmetricDefault
Cet ensemble de règles sécurisées indique l'algorithme symétrique, ainsi que les algorithmes de clé dérivés en vue de sécuriser les messages. L'intégrité des messages est assurée par la signature numérique du corps du message, l'horodatage et les en-têtes d'adressage WS à l'aide de HMAC-SHA1. La confidentialité des messages est assurée par le codage et la signature du corps du message via AES. Cet ensemble de règles obéit aux spécifications de sécurité WS-Security et WS-SecureConversation pour les demandes d'opérations sécurisées de validation et d'annulation.
- SystemWSSecurityDefault
Cet ensemble de règles système spécifie l'algorithme asymétrique, ainsi que les clés publiques et privées, permettant d'assurer la sécurisation des messages. L'intégrité des messages est assurée par la signature numérique du corps du message, l'horodatage et les en-têtes d'adressage WS à l'aide du chiffrement RSA.
La confidentialité des messages est assurée par le codage et la signature du corps du message via le chiffrement RSA.
- Hériter des valeurs par défaut de l'opération
- Définit l'opération devant hériter l'association d'ensemble de règles et la
liaison correspondantes du service d'accréditation par défaut. Si vous sélectionnez
les associations à modifier et cliquez sur Hériter des valeurs par défaut de
l'opération, l'association explicite pour l'ensemble de règles et la liaison est
supprimée. L'opération hérite toutes les modifications apportées à
l'ensemble de règles et à la liaison du service d'accréditation par défaut.
- Affecter une liaison
- Modifie la liaison existante. Vous pouvez créer et affecter une liaison,
affecter une liaison par défaut ou affecter une liaison existante spécifique au service d'accréditation à
chaque association du service d'accréditation sélectionnée.
- Mettre à jour la phase d'exécution
- Met à jour l'exécution du service d'accréditation avec les changements de
configuration effectués pour les associations du service d'accréditation, les
fournisseurs de jetons et les cibles.
- Facultatif : Modifiez l'ensemble de règles personnalisé en cliquant sur son nom dans la
liste. Modifiez les paramètres pour les ensembles de règles personnalisés, selon
vos besoins. Les informations sur les ensembles de règles du service
d'accréditation sont en lecture seule.
Il n'est pas possible de modifier les ensembles de règles par défaut : TrustServiceSecurityDefault, TrustServiceSymmetricDefault et SystemWSSecurityDefault. TrustServiceSecurityDefault
est l'ensemble par défaut pour les opérations d'émission et de renouvellement. TrustServiceSymmetricDefault
est l'ensemble par défaut pour les opérations d'annulation et de validation.
Au moins une opération du service d'accréditation pour l'URL du noeud final doit
être associée de façon explicite pour l'URL à afficher. Si une opération est
associée de façon explicite, le nom de l'ensemble de règles système apparaît. Si
aucun ensemble de règles n'est associé de façon explicite, l'ensemble de règles du
service d'accréditation par défaut correspondant apparaît, suivi de (hérité).
- Facultatif : Modifiez selon requis la liaison propre au service d'accréditation en cliquant sur son nom dans la liste. Modifiez les paramètres de la liaison spropre au service d'accréditation selon requis. Toutes les
modifications apportées à une liaison du service d'accréditation s'appliquent à
toutes les associations de ce service qui font référence à la liaison en question.
Si un ensemble de règles est directement associé à la ressource, le nom de la
liaison ou Par défaut apparaît.
- Sauvegardez vos modifications avant de les appliquer à la configuration
d'exécution du service d'accréditation.
- Cliquez sur Mettre à jour la phase d'exécution pour mettre à jour la
configuration d'exécution du service d'accréditation avec les changements de
données pour les fournisseurs de jetons, les associations du service
d'accréditation et les cibles. La fenêtre de confirmation s'ouvre uniquement si vous cochez la case
Afficher la confirmation de la commande de mise à jour de la phase
d'exécution. Développez Préférences pour afficher cette case.
- Facultatif : Confirmez ou annulez si la fenêtre de confirmation s'ouvre. Si vous décochez la case Afficher la confirmation de la commande de mise à
jour de la phase d'exécution, toutes les modifications s'appliquent
immédiatement sans confirmation.
Résultats
Vous avez fourni les informations de base permettant de créer ou de
mettre à jour une association du service d'accréditation. Vous avez configuré les
associations d'opérations du service d'accréditation à des ensembles de règles
système et des liaisons.
Que faire ensuite
Vous pouvez également créer une association pour le service d'accréditation de WebSphere Application
Server à l'aide de l'outil wsadmin. Les exemples d'outil wsadmin sont écrits dans le langage de script Jython.