Propriétés personnalisées du module de connexion du jeton de sécurité générique de la sécurité des services Web

Lorsque vous configurez un module de connexion de jeton de sécurité générique, vous pouvez configurer des paires de données nom-valeur, dans lesquelles le nom est une clé de propriété et la valeur une chaîne, pouvant être utilisées pour définir des propriétés de configuration du système interne. Vous pouvez utiliser ces propriétés de configuration, de pair avec les options proposées dans la console d'administration, pour contrôler la manière dont le jeton est généré ou consommé.

Pour configurer ces propriétés personnalisées pour le gestionnaire d'appel dans la console d'administration, procédez comme suit :

  1. Développez Services.
  2. Sélectionnez Fournisseur de service ou Client de service
  3. Cliquez sur l'application appropriée dans la colonne Nom.
  4. Cliquez sur la liaison appropriée dans la colonne Liaison.

    Au préalable, il est nécessaire d'associer un ensemble de règles et d'affecter une liaison.

ou

  1. Cliquez sur Applications > Types d'application, puis sur Applications d'entreprise WebSphere.
  2. Sélectionnez une application contenant des services Web. Cette application doit contenir un fournisseur de services ou un client de service.
  3. Sous l'en-tête Propriétés des services Web, cliquez sur Liaisons et ensemble de règles du fournisseur de services ou sur Liaisons et ensembles de règles de client de service.
  4. Sélectionnez une liaison. Vous devez avoir précédemment associé un ensemble de règles et affecté une liaison spécifique à l'application.

Puis, effectuez les opérations suivantes :

  1. Cliquez sur WS-Security dans la table des règles.
  2. Sous l'en-tête Liaisons de la règle de sécurité du message, cliquez sur Authentification et protection.
  3. Sous l'en-tête Jetons d'authentification, cliquez sur le nom du jeton d'authentification.
    Configurations prises en charge Configurations prises en charge: Vous pouvez utiliser le jeton exécuté par le module de connexion du jeton de sécurité générique uniquement à des fins d'authentification. Vous ne pouvez pas utiliser le jeton comme un jeton de protection.sptcfg
  4. Sous l'en-tête Additional Bindings (Liaisons supplémentaires, cliquez sur Gestionnaire d'appel.
  5. Sous l'en-tête Propriétés personnalisées, entrez les paires de nom et de valeur.

Propriétés personnalisées de gestionnaire d'appel pour les liaisons de générateur de jeton et de consommateur de jeton

Le tableau suivant recense les propriétés personnalisées du gestionnaire d'appel qui peuvent être utilisées pour configurer à la fois les liaisons de générateur de jeton et celles de consommateur de jeton.

Tableau 1. Propriétés personnalisées de gestionnaire d'appel pour les liaisons de générateur de jeton et de consommateur de jeton.. Cette table contient le nom de la propriété personnalisée, ses valeurs et une brève description.
Chaîne Valeurs Description

clockSkew

Cette propriété personnalisée ne possède pas de valeur par défaut.

Cette propriété personnalisée permet d'indiquer, en minutes, un réglage des heures dans le jeton SAML auto-généré créé par SAMLGenerateLoginModule.

La propriété personnalisée clockSkew est définie sur le gestionnaire d'appel du générateur de jeton SAML qui utilise la classe SAMLGenerateLoginModule. La valeur spécifiée pour cette propriété personnalisée doit être numérique et est indiquée en minutes.

Lorsqu'une valeur est indiquée pour cette propriété personnalisée, les ajustements d'heure sont effectués dans le jeton SAML auto-généré créé par le module SAMLGenerateLoginModule :
  • La nouvelle valeur de temps NotBefore est égale à la valeur de temps NotBefore initiale, moins la durée spécifiée pour la propriété personnalisée clockSkew.
  • La nouvelle valeur de temps NotAfter est égale à la valeur de temps NotAfter initiale, plus la durée spécifiée pour la propriété personnalisée clockSkew.
stsURI

Cette propriété personnalisée ne possède pas de valeur par défaut.

Utilisez cette propriété personnalisée pour indiquer l'adresse Security Token Service (STS).

Cette propriété personnalisée est obligatoire pour le consommateur de jeton. En revanche, cette propriété personnalisée est facultative pour le générateur de jeton si le jeton requis existe dans RunAs Subject et sa vérification n'est pas nécessaire.

wstrustClientBinding

Cette propriété personnalisée ne possède pas de valeur par défaut.

Utilisez cette propriété personnalisée pour indiquer le nom de liaison pour le client WS-Trust.

wstrustClientBindingScope Vous pouvez définir une valeur application ou domain. Utilisez cette propriété personnalisée pour indiquer le type de liaison utilisé pour le client WS-Trust.
Les conditions suivantes s'appliquent :
  • Si vous définissez la valeur domain, des liaisons générales sont utilisées.
  • Si vous définissez la valeur application, des liaisons personnalisées sont utilisées.
  • Si vous n'indiquez pas de valeur et qu'il existe des liaisons d'application, ces liaisons d'application sont utilisées.
  • Si vous n'indiquez pas de valeur et qu'il existe des liaisons générales, ces liaisons générales sont utilisées.
  • Si ni l'application, ni les liaisons générales n'existent, ce sont les liaisons par défaut qui sont utilisées.

Cette propriété personnalisée est facultative.

wstrustClientPolicy

Cette propriété personnalisée ne possède pas de valeur par défaut.

Utilisez cette propriété personnalisée pour indiquer le nom de l'ensemble de règles pour le client WS-Trust.

wstrustClientSoapVersion

Vous pouvez définir une valeur 1.1 ou 1.2.

Utilisez cette propriété personnalisée pour indiquer la version du message SOAP que le client sécurisé utilise pour générer le message SOAP. Le message SOAP est envoyé au service STS. Si vous ne définissez pas cette propriété personnalisée, le module de connexion du jeton de sécurité générique utilise la version SOAP de l'application lorsqu'il génère le message SOAP pour la requête du client sécurisé.

La valeur par défaut correspond à la version SOAP utilisée par le client d'application.

Cette propriété personnalisée est facultative.

wstrustClientWSTNamespace
Indiquez l'une des valeurs suivantes :
Trust Version 1.3 (par défaut)

Spécifiez 1.3 pour utiliser Trust version 1.3 (par défaut).

http://docs.oasis-open.org/ws-sx/ws-trust/200512
Trust Version 1.2

Spécifiez 1.2 pour utiliser Trust version 1.2 .

http://schemas.xmlsoap.org/ws/2005/02/trust

Utilisez cette propriété personnalisée pour définir quel espace de nom de client sécurisé le module de connexion de jeton de sécurité générique utilise lorsqu'il lance la requête WS-Trust.

wstrustValidateClientBinding

Par défaut, la valeur de cette propriété personnalisée est la même valeur que celle définie pour la propriété personnalisée wstrustClientBinding.

Utilisez cette propriété personnalisée pour définir les liaisons utilisées par la requête WS-Trust Validate.

Si vous ne définissez pas cette propriété personnalisée, la requête WS-Trust Validate utilise les mêmes liaisons que celles utilisées par WS-Trust Issue qui sont définies par la propriété personnalisée wstrustClientBinding.

wstrustValidateClientPolicy

Par défaut, la valeur de cette propriété personnalisée est la même valeur que celle définie pour la propriété personnalisée wstrustClientPolicy.

Utilisez cette propriété personnalisée pour indiquer l'ensemble de règles à utiliser avec la requête WS-Trust Validate.

Si vous ne définissez pas de valeur pour cette propriété personnalisée, WS-Trust Validate utilise le même ensemble de règles que WS-Trust Issue qui est défini par la propriété personnalisée wstrustClientPolicy requise.

wstrustIssuer

Vous pouvez utiliser n'importe quelle valeur de chaîne.

Utilisez cette propriété personnalisée pour indiquer l'émetteur du jeton de requête.

Cette propriété personnalisée est facultative.

wstrustValidateTargetOption

La valeur par défaut est l'extension d'élément de base WS-Trust.

Vous pouvez définir une valeur token ou base qui correspond également à la valeur par défaut.

Utilisez cette propriété personnalisée pour définir si le client WS-Trust transfère la jeton de validation au service WS-Trust Security Token Service à l'aide de ValidateTarget ou de l'extension d'élément de base.

Les conditions suivantes s'appliquent :
  • Si vous n'indiquez pas de valeur pour cette propriété personnalisée, le jeton est inséré dans l'extension d'élément de base de l'élément RequestedSecurityToken.
  • Si vous définissez la valeur token, le jeton est inséré dans l'élément ValidateTarget de l'élément RequestedSecurityToken.

Propriétés personnalisées de gestionnaire d'appel pour les liaisons de générateur de jeton

Le tableau suivant recense les propriétés personnalisées du gestionnaire d'appel qui seules peuvent être utilisées pour configurer les liaisons de générateur de jeton.

Tableau 2. Propriétés personnalisées de gestionnaire d'appel pour les liaisons de générateur de jeton uniquement.. Cette table contient le nom de la propriété personnalisée, ses valeurs et une brève description.
Chaîne valeur Description
passThroughToken

Vous pouvez utiliser une valeur True ou False. La valeur par défaut est False.

La distinction entre les minuscules et les majuscules n'est pas appliquée à la valeur de cette propriété personnalisée.

Utilisez cette propriété personnalisée pour indiquer si le jeton sortant doit être obtenu du STS ou non. Le comportement par défaut consiste à toujours obtenir le jeton du STS. Lorsque cette propriété a pour valeur True, le jeton entrant est obtenu dans l'ordre suivant :
  1. Depuis l'objet sharedState d'un module de connexion JAAS empilé
  2. Depuis la liste com.ibm.wsspi.wssecurity.token.tokenHolder dans le contexte du message
  3. Depuis l'objet SecurityTokens entrant
Pour plus d'informations, voir les constantes ci-dessous dans la documentation de l'API Java com.ibm.wsspi.wssecurity.core.Constants. Cette documentation est disponible sous Reference > Programming interfaces > APIs (Référence > Interfaces de programmation > API) dans le centre de documentation.
  • com.ibm.wsspi.wssecurity.token.tokenHolder
  • com.ibm.wsspi.wssecurity.token.enableCaptureTokenContext
  • com.ibm.wsspi.wssecurity.token.enableCaptureTokenInboundMsg
useRunAsSubject

Vous pouvez utiliser une valeur True ou False. La valeur par défaut est True.

La distinction entre les minuscules et les majuscules n'est pas appliquée à la valeur de cette propriété personnalisée.

Utilisez cette propriété personnalisée pour définir si les modules de connexion de jetons de sécurité génériques utilisent le jeton de RunAs Subject pour la requête sortante. Par défaut, le module de connexion utilise tout d'abord les jetons validés de RunAs Subject.

Les conditions suivantes s'appliquent :
  • Si vous paramétrez cette propriété personnalisée sur une valeur false, le module de connexion de jeton de sécurité générique n'utilise pas WS-Trust Validate pour échanger le jeton pour la requête sortante. Il utilise plutôt WS-Trust Issue pour lancer une requête sur un jeton.
  • Si vous ne définissez pas cette propriété personnalisée, le module de connexion du jeton de sécurité générique tente d'utiliser un jeton de RunAs Subject et WS-Trust Validate pour échanger le jeton.
  • Si un jeton n'existe pas dans RunAs Subject, le module de connexion de jeton de sécurité générique utilise WS-Trust Issue et est protégé par les ensembles de règles du client sécurisé.
useRunAsSubjectOnly

Vous pouvez utiliser une valeur True ou False. La valeur par défaut est False.

La distinction entre les minuscules et les majuscules n'est pas appliquée à la valeur de cette propriété personnalisée.

Utilisez cette propriété personnalisée pour désactiver ou activer WS-Trust Issue dans le module de connexion de jeton de sécurité générique. Si vous paramétrez cette propriété personnalisée sur une valeur true, le module de connexion de jeton de sécurité générique utilise le jeton de RunAs Subject et WS-Trust Validate pour échanger les jetons. Le module de connexion de jeton de sécurité générique n'utilise pas WS-Trust Issue pour lancer une requête sur un jeton, même si WS-Trust Validate échoue ou qu'il ne trouve pas de jeton correspondant dans RunAs Subject.

useToken

Vous pouvez utiliser n'importe quelle valeur de chaîne de la valeur ValueType pour le jeton de sécurité.

Lorsque vous utilisez un jeton de sécurité dans RunAs Subject pour valider et échanger les jetons d'une requête sortante, vous pouvez utiliser cette propriété personnalisée pour définir quelle valeur ValueType de jeton de RunAs Subject valider et échanger pour le jeton requis.

Par exemple, vous pouvez avoir un jeton d'une valeur ValueType Token_1 dans RunAs Subject. Cependant, la valeur ValueType Token_2 correspond au jeton requis. Vous pouvez paramétrer cette propriété personnalisée sur Token_1.

Si vous ne définissez pas cette propriété personnalisée, le jeton de validation est celui de RunAs Subject qui présente la même valeur ValueType que le jeton requis.

Cette propriété personnalisée est facultative.

validateUseToken

Vous pouvez utiliser une valeur True ou False. La valeur par défaut est True.

La distinction entre les minuscules et les majuscules n'est pas appliquée à la valeur de cette propriété personnalisée.

Utilisez cette propriété personnalisée pour définir si le générateur de jeton utilise WS-Trust Validate pour valider le jeton de RunAs Subject.

Par défaut, le module de connexion de jeton de sécurité générique valide un jeton de RunAs Subject en fonction du service Security Token Service (STS) avant d'envoyer le jeton du message SOAP au fournisseur de services.

Si vous paramétrez cette valeur de propriété personnalisée sur false et que le module de connexion de jeton de sécurité générique trouve un jeton correspondant de RunAs Subject, le module de connexion n'appelle pas WS-Trust Validate pour valider le jeton correspondant. Il envoie plutôt le jeton correspondant vers le fournisseur de services en aval sans validation.

wstrustIncludeTokenType

Vous pouvez utiliser une valeur True ou False. La valeur par défaut est True.

La distinction entre les minuscules et les majuscules n'est pas appliquée à la valeur de cette propriété personnalisée.

Utilisez cette propriété personnalisée pour définir si le jeton WS-Trust RequestedSecurityToken comprend la valeur ValueType de jeton requise.

Si vous ne définissez pas cette propriété personnalisée, le module de connexion du jeton de sécurité générique comprend le type de jeton requis dans le jeton WS-Trust RequestedSecurityToken.

Cette propriété personnalisée est facultative.

Propriétés personnalisées de gestionnaire d'appel pour les liaisons de consommateur de jeton.

Le tableau suivant recense les propriétés personnalisées du gestionnaire d'appel qui seules peuvent être utilisées pour configurer les liaisons de consommateur de jeton.

Tableau 3. Propriétés personnalisées de gestionnaire d'appel pour les liaisons de consommateur de jeton uniquement.. Cette table contient le nom de la propriété personnalisée, ses valeurs et une brève description.
Chaîne valeur Description
alwaysGeneric

Vous pouvez utiliser une valeur True ou False. La valeur par défaut est False.

La distinction entre les minuscules et les majuscules n'est pas appliquée à la valeur de cette propriété personnalisée.

Utilisez cette propriété personnalisée pour spécifier si le module de connexion crée un élément GenericSecurityToken.

Si la propriété passThroughToken et cette propriété ont toutes les deux la valeur True, le module de connexion crée toujours un élément GenericSecurityToken au lieu d'un type de jeton intégré qui correspond à l'élément valueType configuré pour le jeton.

exchangedTokenType

La valeur valide pour cette propriété personnalisée est la valeur ValueType de chaîne pour le jeton pris en charge par les modules de connexion par défaut du système.

Utilisez cette propriété personnalisée pour indiquer le nouveau jeton portant la valeur ValueType définie que le service sécurisé doit retourner après le succès de la validation.

Si vous n'indiquez pas de valeur pour la propriété personnalisée, le module de connexion de jeton de sécurité générique accepte n'importe quel jeton que le service sécurisé retourne.

Cette propriété personnalisée est facultative.

passThroughToken

Vous pouvez utiliser une valeur True ou False. La valeur par défaut est False.

La distinction entre les minuscules et les majuscules n'est pas appliquée à la valeur de cette propriété personnalisée.

Utilisez cette propriété personnalisée pour spécifier si le jeton entrant doit être envoyé au STS.

Le comportement par défaut consiste à toujours envoyer le jeton entrant au STS pour validation, pour échange, ou pour les deux.

Lorsque cette propriété a pour valeur True, le jeton entrant n'est pas envoyé au STS et est transmis via le consommateur. Lorsque cette propriété a pour valeur True et qu'un jeton intégré est utilisé, le jeton est analysé et mis à disposition dans le contexte WS-Security en vue de son traitement ultérieur par un module de connexion JAAS de configuration d'appelant.


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_genlogin_customproperties
Nom du fichier : rwbs_genlogin_customproperties.html