Configuration des destinataires de jetons à l'aide de JAX-RPC pour protéger l'authenticité des messages au niveau du serveur ou de la cellule
Le destinataire du jeton au niveau du serveur ou de la cellule permet de spécifier les informations nécessaires pour traiter le jeton de sécurité s'il n'est pas défini au niveau de l'application.
Avant de commencer
Prenez en compte le fait que les informations de fichier de clés/alias fournies pour le générateur et celles fournies pour le consommateur sont utilisées différemment. La principale différence concerne l'alias d'un gestionnaire d'appel X.509.
Lorsqu'il est utilisé avec un consommateur de chiffrement, l'alias fourni pour le consommateur permet d'extraire la clé privée afin de déchiffrer le message. Un mot de passe est requis. Lorsqu'il est associé à un consommateur de signature, l'alias fourni pour le consommateur est utilisé uniquement pour extraire la clé publique permettant de résoudre un certificat X.509 qui n'est pas transmis dans l'en-tête de sécurité SOAP en tant qu'élément BinarySecurityToken. Aucun mot de passe n'est requis.
Pourquoi et quand exécuter cette tâche
Vous pouvez configurer les destinataires du jeton au niveau du serveur et de la cellule. Dans la procédure ci-dessous, la première étape permet d'accéder aux liaisons par défaut au niveau du serveur et la deuxième permet d'accéder aux liaisons au niveau de la cellule.
Procédure
- Accédez aux liaisons par défaut au niveau du serveur.
- Cliquez sur Serveurs > Types de serveurs > Serveurs d'applications WebSphere > nom_serveur.
- Sous Sécurité, cliquez sur Module d'exécution de sécurité JAX-WS et JAX-RPC.
Environnement de version mixte: Dans une cellule de noeud mixte comportant un serveur WebSphere Application Server de version 6.1 ou antérieure, cliquez sur Services Web : Liaisons par défaut pour la sécurité des Services Web.mixv
- Sélectionnez Sécurité > Services Web pour accéder aux liaisons par défaut au niveau de la cellule.
- Dans la section Liaisons de destinataire par défaut, cliquez sur Destinataires du jeton.
- Cliquez sur Nouveau pour créer une configuration de destinataire de jeton, cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de destinataire de jeton pour modifier ses paramètres. Si vous créez une configuration, entrez un nom unique pour la configuration du destinataire du jeton dans la zone Nom du destinataire du jeton. Par exemple, entrez sig_tcon. Cette zone indique le nom de l'élément de destinataire du jeton.
- Spécifiez un nom de classe dans la zone Nom de la classe du destinataire de jeton. L'implémentation
du module de connexion JAAS (Java™ Authentication
and Authorization Service) permet de valider (authentifier)
le jeton de sécurité au niveau du consommateur.Restriction : L'interface com.ibm.wsspi.wssecurity.token.TokenConsumingComponent n'est pas utilisée avec les services Web JAX-WS. Si vous utilisez les services Web JAX-RPC, cette interface est encore valide.
Le nom de classe du destinataire du jeton doit être similaire à celui de la classe du générateur de jetons.
Par exemple, si l'application requiert un destinataire de jeton de certificat X.509, vous pouvez spécifier le nom de classe com.ibm.wsspi.wssecurity.token.X509TokenGenerator dans le panneau Générateur de jetons et le nom de classe com.ibm.wsspi.wssecurity.token.X509TokenConsumer dans cette zone. WebSphere Application Server fournit les implémentations de classe de destinataire de jeton par défaut suivantes :- com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer
- Cette implémentation intègre un jeton Username.
- com.ibm.wsspi.wssecurity.token.X509TokenConsumer
- Cette implémentation intègre un jeton de certificat X.509.
- com.ibm.wsspi.wssecurity.token.LTPATokenConsumer
- Cette implémentation intègre un jeton LTPA (Lightweight Third Party Authentication).
- com.ibm.wsspi.wssecurity.token.IDAssertionUsernameTokenConsumer
- Cette implémentation intègre un jeton IDAssertionUsername.
Il n'existe aucune classe de générateur de jetons correspondante pour cette implémentation.
- Sélectionnez une option de chemin d'accès au certificat. Le chemin d'accès au certificat indique la liste de retrait de certificat (CRL) utilisée pour générer un jeton de sécurité encapsulé dans un PKCS#7 avec une liste CRL. WebSphere Application Server fournit les
options de chemin d'accès au certificat suivantes :
- Aucun
- Si vous sélectionnez cette option, le chemin d'accès au certificat n'est pas spécifié.
- Faire confiance à tous
- Si vous sélectionnez cette option, tous les certificats sont considérés comme fiables. Lorsque le jeton reçu est consommé, la validation du chemin d'accès au certificat n'est pas traitée.
- Informations de signature dédiées
- Si vous sélectionnez cette option, vous pouvez spécifier un point d'ancrage digne de confiance et un magasin de certificats. Lorsque vous sélectionnez le point d'ancrage digne de confiance ou le magasin de certificats d'un certificat sécurisé, vous devez configurer le magasin de certificats de collection avant de définir le chemin d'accès au certificat. Pour définir un magasin de certificats de collection au niveau du serveur ou de la cellule, voir Configuration du certificat de collection au niveau du serveur ou de la cellule.
- Sélectionnez un point d'ancrage digne de confiance dans la zone de ce nom. WebSphere Application Server fournit deux exemples de point d'ancrage digne de confiance. Toutefois, il est recommandé de configurer vos propres points d'ancrage pour un environnement de production. Pour obtenir des informations sur la configuration d'un ancrage sécurisé, voir Configuration des ancrages sécurisés au niveau du serveur ou de la cellule.
- Sélectionnez un magasin de certificats de collection dans la zone Magasin de certificats. WebSphere Application Server fournit un exemple de magasin de certificats de collection. Si vous sélectionnez Aucun, le magasin de certificats de collection n'est pas spécifié. Pour obtenir des informations sur la spécification d'une liste de magasins de certificats contenant des fichiers de certificats intermédiaires non sécurisés en attente de validation, voir Configuration des évaluateurs d'ID dignes de confiance au niveau du serveur ou de la cellule.
- Sélectionnez un évaluateur d'ID digne de confiance dans la zone de référence d'évaluation d'ID digne de confiance. Cette zone indique une référence au nom de classe d'évaluateur d'ID dignes de confiance défini dans le panneau Evaluateurs d'ID dignes de confiance. L'évaluateur d'ID dignes de confiance permet d'évaluer si l'ID reçu est digne de confiance. Si vous sélectionnez Aucun, l'évaluateur d'ID dignes de confiance n'est pas référencé dans cette configuration de destinataire de jeton. Pour configurer un évaluateur d'ID dignes de confiance, voir Configuration des évaluateurs d'ID dignes de confiance au niveau du serveur ou de la cellule.
- Sélectionnez l'option Vérifier nonce si un élément nonce est inclus dans un jeton du nom d'utilisateur (username token) côté générateur. Nonce est un numéro de chiffrement unique, inséré dans un message pour aider à arrêter les attaques à répétition et non autorisées des jetons de nom d'utilisateur. L'option Vérifier nonce est disponible si vous spécifiez un jeton du nom d'utilisateur (username token) pour le destinataire du jeton et l'élément nonce est ajouté au jeton du nom d'utilisateur côté générateur.
- Sélectionnez l'option Vérifier l'horodatage si un horodatage est inclus dans un jeton du nom d'utilisateur (username token) côté générateur. L'option Vérifier l'horodatage est disponible si vous spécifiez un jeton du nom d'utilisateur (username token) pour le destinataire du jeton et un horodatage est ajouté au jeton du nom d'utilisateur côté générateur.
- Spécifiez le nom local du type de valeur pour le jeton intégré. Cette entrée indique le nom local du type de valeur d'un jeton de sécurité référencé par l'identificateur de clé.
Cet attribut est valide uniquement lorsque Identificateur de clé est sélectionné comme type d'information de clé. Pour spécifier le type d'information de clé, voir Configuration des informations de clé pour la liaison de destinataire à l'aide de JAX-RPC au niveau du serveur ou de la cellule. WebSphere Application
Server possède des noms locaux de type de valeur prédéfinis pour le jeton de nom d'utilisateur
et le jeton de sécurité du certificat X.509. Entrez l'un des noms locaux suivants pour le jeton du nom d'utilisateur (username token) et le jeton de sécurité de certificat X.509. Il n'est pas nécessaire de définir l'URI de type de valeur lorsque vous spécifiez les noms locaux suivants :
- Jeton de nom d'utilisateur
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
- Jeton de certificat X.509
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- Certificats X.509 figurant dans un PKIPath
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- Liste de certificats X.509 et listes CRL au format PKCS#7
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
Remarque : Pour spécifier LTPA (Lightweight Third Party Authentication) ou la propagation des jetons (LTPA_PROPAGATION), vous devez définir à la fois le nom local et l'URI (Uniform Resource Identifier) de type de valeur. Pour LTPA, entrez LTPA pour le nom local et http://www.ibm.com/websphere/appserver/tokentype/5.0.2 pour l'URI. Pour la propagation de jetons LTPA, entrez LTPA_PROPAGATION pour le nom local et http://www.ibm.com/websphere/appserver/tokentype pour l'URI.Par exemple, lorsqu'un jeton de certificat X.509 est spécifié, vous pouvez utiliser http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 pour le nom local. Lorsque vous spécifiez le nom local d'un autre jeton, vous devez indiquer un nom Qname de type de valeur. Par exemple : uri=http://www.ibm.com/custom, localName=CustomToken - Spécifiez l'URI (Uniform Resource Identifier) de type de valeur dans la zone URI. Cette entrée indique l'URI de l'espace de nom du type de valeur d'un jeton de sécurité référencé par l'identificateur de clé. Cet attribut est valide uniquement lorsque Identificateur de clé est sélectionné comme type d'information de clé dans le panneau Informations de clé pour le générateur par défaut. Lorsque vous spécifiez le destinataire de jeton pour le jeton du nom d'utilisateur (username token) ou un jeton de sécurité de certificat X.509, il n'est pas nécessaire de définir cette option. Si vous spécifiez un jeton différent, vous devez indiquer l'URI du nom complet (QName) pour le type de valeur.
- Cliquez sur OK, puis sur Sauvegarder pour enregistrer la configuration. Après avoir sauvegardé la configuration de générateur de jetons, vous pouvez spécifier une configuration JAAS pour le destinataire de jeton.
- Cliquez sur le nom de la configuration de générateur de jeton.
- Dans la section Propriétés supplémentaires, cliquez sur Configuration JAAS.
- Sélectionnez une configuration JAAS dans la zone Nom de configuration JAAS.
Cette zone indique le nom du système JAAS de la configuration de connexion de l'application. Vous pouvez définir des configurations de système JAAS et d'application supplémentaires en cliquant sur Sécurité > Sécurité globale. Développez Service d'autorisation et d'authentification Java, puis sélectionnez Connexions d'application > Nouveau ou Connexions système > Nouveau.
Ne supprimez pas les configurations de connexion système et d'application prédéfinies. Cependant, vous pouvez les modifier en y ajoutant des noms de classe de module et en indiquant l'ordre dans lequel WebSphere Application Server doit charger chaque module. WebSphere Application Server fournit les configurations JAAS prédéfinies suivantes:Pour plus d'informations sur les configurations JAAS, voir Paramètres de configuration JAAS.
- ClientContainer
- Cette sélection spécifie la configuration de connexion utilisée par les applications de conteneur client. La configuration utilise l'API CallbackHandler définie dans le descripteur de déploiement du conteneur client. Pour modifier cette configuration, voir les connexions d'application dans le panneau de configuration JAAS.
- WSLogin
- Cette sélection indique si toutes les applications peuvent utiliser la configuration WSLogin pour procéder à l'authentification du module d'exécution de sécurité. Pour modifier cette configuration, voir les connexions d'application dans le panneau de configuration JAAS.
- DefaultPrincipalMapping
- Cette sélection indique la configuration de connexion utilisée par les connecteurs J2C (Java 2 Connectors) pour associer les utilisateurs aux principaux définis dans les entrées de données d'authentification J2C. Pour modifier cette configuration, voir les connexions d'application dans le panneau de configuration JAAS.
- system.wssecurity.IDAssertion
- Cette sélection permet à une application version 5.x d'utiliser la vérification d'identité pour mapper un nom d'utilisateur à un principal de données d'identification WebSphere Application Server. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.wssecurity.Signature
- Cette sélection permet à une application de version 5.x de mapper un nom distinctif (DN) figurant dans un certificat signé à un principal de données d'identification WebSphere Application Server. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.LTPA_WEB
- Cette sélection traite les demandes de connexion utilisées par le conteneur Web, par exemple les servlets et les fichiers JSP (JavaServer Pages). Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.WEB_INBOUND
- Cette sélection traite les demandes de connexion des applications Web qui incluent les servlets et les fichiers JSP (JavaServer Pages). Cette configuration de connexion est utilisée par WebSphere Application Server Version 5.1.1. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.RMI_INBOUND
- Cette sélection traite les connexions des demandes RMI (Remote Method Invocation) entrantes. Cette configuration de connexion est utilisée par WebSphere Application Server Version 5.1.1. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.DEFAULT
- Cette sélection gère les connexions pour les demandes entrantes émises par les mécanismes d'authentification internes et la plupart des autres protocoles à l'exception des applications Web et des demandes RMI. Cette configuration de connexion est utilisée par WebSphere Application Server Version 5.1.1. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.RMI_OUTBOUND
- Cette sélection traite les demandes RMI qui sont envoyées à un autre serveur lorsque la propriété com.ibm.CSIOutboundPropagationEnabled a pour valeur true. Cette propriété est définie dans le panneau d'authentification CSIv2. Pour accéder au panneau, cliquez sur Sécurité > Sécurité globale. Dans Authentification, développez la sécurité RMI/IIOP et cliquez sur Authentification des communications sortantes CSIv2. Pour définir la valeur de la propriété com.ibm.CSIOutboundPropagationEnabled, sélectionnez Propagation des attributs de sécurité. Pour modifier cette configuration de connexion JAAS, voir le panneau JAAS - Connexions système.
- system.wssecurity.X509BST
- Cette section vérifie un jeton de sécurité binaire (BST) X.509 en contrôlant la validité du certificat et du chemin de certificat. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.wssecurity.PKCS7
- Cette sélection vérifie un certificat X.509 par rapport à une liste de retrait de certificats (CRL) dans un objet PKCS7. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.wssecurity.PkiPath
- Cette section vérifie un certificat X.509 avec un chemin PKI (public key infrastructure). Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.wssecurity.UsernameToken
- Cette sélection vérifie les données d'authentification (nom d'utilisateur et mot de passe) de base. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.wssecurity.IDAssertionUsernameToken
- Cette sélection permet aux applications de versions 6 et ultérieures d'utiliser l'assertion d'identité pour mapper un nom d'utilisateur au principal de justificatif WebSphere Application Server. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.WSS_INBOUND
- Cette sélection définit la configuration de connexion pour les demandes entrantes ou des destinataires relatives à la propagation des jetons de sécurité à l'aide de la sécurité des services Web. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- system.WSS_OUTBOUND
- Cette sélection définit la configuration de connexion pour les demandes sortantes ou des générateurs relatives à la propagation des jetons de sécurité à l'aide de la sécurité des Services Web. Pour modifier cette configuration, voir les connexions système dans le panneau de configuration JAAS.
- Aucun
- Avec cette sélection, vous ne spécifiez pas de configuration de connexion JAAS.
- Cliquez sur OK, puis sur Sauvegarder pour enregistrer la configuration.
Résultats
Que faire ensuite
Sous-rubriques
Collection de destinataires de jeton
La page de collection des destinataires de jeton permet d'afficher le destinataire de jeton. Les informations sont utilisées côté destinataire pour traiter le jeton de sécurité.Paramètres de configuration du destinataire de jeton
Cette page permet de spécifier les informations relatives au destinataire de jeton. Les informations sont utilisées côté destinataire pour traiter le jeton de sécurité.Collection de destinataires de jeton
La page de collection des destinataires de jeton permet d'afficher le destinataire de jeton. Les informations sont utilisées côté destinataire pour traiter le jeton de sécurité.Paramètres de configuration du destinataire de jeton
Cette page permet de spécifier les informations relatives au destinataire de jeton. Les informations sont utilisées côté destinataire pour traiter le jeton de sécurité.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokenconssvrcell
Nom du fichier : twbs_configtokenconssvrcell.html