Configuration par défaut des services Web activés par un bus pour l'accès à un bus sécurisé

Par défaut, le composant des services Web activés par un bus peut accéder à un bus d'intégration de services sécurisé. Cela signifie que les clients de services Web qui fournissent les justificatifs appropriés lors de l'émission des demandes peuvent utiliser les services Web activés par un bus lorsque la sécurité du bus est activée. Vous pouvez modifier ou remplacer la configuration par défaut, par exemple en définissant un alias d'authentification que l'adaptateur de ressources d'intégration de services utilise pour accéder au bus.

Remarque : Pour utiliser les services Web activés par un bus lorsque la sécurité du bus est activée, les clients des services Web doivent fournir les informations d'identification appropriées lorsqu'ils formulent des demandes. Vos clients peuvent fournir des autorisations d'accès via WS-Security ou une authentification de base HTTP, comme décrit dans Authentification des clients de services Web à l'aide d'une authentification HTTP de base. Pour l'authentification de base HTTP, la sécurité de l'application doit également être activée et, en fonction des méthodes d'authentification utilisées, l'application d'écoute du noeud final doit être configurée de manière appropriée, comme décrit dans Services de communications entrants protégés par mot de passe. Lorsque vous utilisez l'authentification de base HTTP, vous mappez le rôle AuthenticatedUsers avec le groupe spécial "AllAuthenticatedUsers" spécifique (ou avec tout autre groupe ou utilisateur authentifié approprié. Lorsque vous utilisez WS-Security, inutile de mapper le rôle AuthenticatedUsers d'écoute du noeud final sauf si la sécurité de l'application est activée, auquel cas vous mappez le rôle AuthenticatedUsers avec le groupe spécial "Tous les utilisateurs". Pour plus d'informations, voir Affectation d'utilisateurs et de groupes à des rôles.
La configuration par défaut que les services Web activés par un bus utilisent pour accéder au bus sécurisé est la suivante :
  • L'accès à un bus est configuré via le rôle de connecteur de bus. Par défaut, chaque rôle de connecteur de bus inclut un groupe appelé serveur. Les membres de ce groupe sont autorisés à se connecter au bus.
  • L'adaptateur de ressources d'intégration de services utilise une spécification d'activation J2C pour communiquer avec le bus. Par défaut, cette spécification d'activation possède la propriété personnalisée booléenne useServerSubject à laquelle la valeur true est attribuée. Cette propriété permet à l'adaptateur de ressources d'intégration de services de se connecter au bus en tant que sujet (membre) du groupe de serveurs.

Le groupe de serveurs dans le rôle de connecteur de bus

Ce groupe détermine si un utilisateur est autorisé ou non à se connecter à un bus. Le groupe de serveurs peut être ajouté ou supprimé à l'aide de la console d'administration :

Intégration des services -> Bus -> valeur_sécurité -> [Règle d'autorisation] Utilisateurs et groupes du rôle de connecteur du bus

Ce groupe peut également être défini à l'aide des scripts de commande wsadmin suivantes :

addGroupToBusConnectorRole
removeGroupFromBusConnectorRole

La propriété useServerSubject

Cette propriété booléenne se trouve dans le panneau des propriétés personnalisées de la spécification d'activation J2C associée au service entrant, sortant ou de passerelle :

Ressources -> Adaptateurs de ressources -> Spécifications d'activation J2C -> nom_spécification_activation -> [Propriétés supplémentaires] Propriétés personnalisées de la spécification d'activation J2C

Cette propriété peut également être définie à l'aide de scripts de commande wsadmin.

Désactivation et substitution de la configuration par défaut

Pour désactiver la configuration par défaut, attribuez la valeur "false" à la propriété useServerSubject au lieu de supprimer le groupe de serveurs, car l'adaptateur de ressources d'intégration de services n'est pas la seule ressource système qui utilise le sujet du serveur. Si vous supprimez le groupe de serveurs du rôle de connecteur de bus, alors aucune ressource système ne pourra utiliser le sujet de serveur.

Vous pouvez également remplacer la configuration par défaut en définissant un alias d'authentification que l'adaptateur de ressources d'intégration de services utilise pour accéder au bus. L'utilisation d'un alias d'authentification n'améliore pas la sécurité de votre configuration. Cependant, vous pouvez utiliser un alias pour la cohérence de l'approche si d'autres serveurs d'applications s'exécutent sous WebSphere Application Server Version 6.0.x ou pour gérer vos commandes métier internes afin d'utiliser des ID utilisateur et des mots de passe.

Si vous configurez un alias d'authentification, vous n'êtes pas obligé de désactiver la configuration par défaut. Si un alias d'authentification existe, il remplacera la configuration par défaut. Cependant, si, par la suite, vous supprimez l'alias d'authentification de la spécification d'activation, la configuration par défaut prendra à nouveau le contrôle et (si elle n'est pas désactivée) autorisera l'adaptateur de ressources service à continuer d'accéder au bus.

Le tableau suivant indique si l'adaptateur de ressources d'intégration de services peut ou non se connecter au bus sécurisé, en fonction de l'état des différentes propriétés :

Tableau 1. Récapitulatif du comportement prévu pour l'accès à un bus d'intégration de services sécurisé. La première colonne de ce tableau indique si le bus d'intégration de services sécurisé comporte ou non un alias d'authentification valide, en spécifiant Yes ou No selon le cas. La deuxième colonne indique si la propriété useServerSubject est sélectionnée ou non, en spécifiant Yes ou No selon le cas. La troisième colonne indique si le groupe de serveurs a été ajouté ou non au rôle de connecteur de bus, en spécifiant Yes ou No selon le cas. La quatrième colonne indique, pour chacune des combinaisons de paramètres Yes et No affichées dans les trois premières colonnes, si l'adaptateur de ressources peut se connecter ou non au bus, en spécifiant Yes ou No selon le cas.
Alias d'authentification valide useServerSubject Groupe de serveurs dans le rôle de connecteur de bus Connexion de l'adaptateur de ressources ?
Yes Non Non Yes
Non Yes Yes Yes
Non Non Yes Non
Non Non Non Non
Non Yes Non Non
Yes Yes Yes Oui (à l'aide de l'alias d'authentification)

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rjw_security_defaults
Nom du fichier : rjw_security_defaults.html