Configuration de la connexion SSO à l'aide de l'intercepteur TAI ++
Cette tâche permet d'activer la connexion unique à l'aide de l'intercepteur TAI ++. Les étapes à suivre incluent la configuration d'une relation de confiance et la création des propriétés de l'intercepteur.
Avant de commencer
Même si vous pouvez utiliser le mécanisme Simple WebSphere Authentication Mechanism (SWAM) en sélectionnant l'option Utiliser SWAM-aucune communication authentifiée entre les serveurs de l'écran Mécanismes d'authentification et expiration, la connexion unique exige une configuration avec LTPA pour mécanisme d'authentification.
L'authentification LTPA (Lightweight Third Party Authentication) est le mécanisme d'authentification par défaut pour WebSphere Application Server. Vous pouvez configurer LTPA avant de configurer la connexion unique en cliquant sur Sécurité > Sécurité globale > Mécanismes d'authentification et expiration.
Pour établir l'association sécurisée de la connexion unique, procédez comme suit :
Procédure
- Dans la console d'administration de WebSphere Application Server, cliquez sur Sécurité Sécurité globale.
- Sous Sécurité Web, cliquez sur Relation de confiance.
- Cliquez sur Activer la relation de confiance.
- Cliquez sur Intercepteurs.
- Cliquez sur com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus pour utiliser un intercepteur WebSEAL. Cet intercepteur est l'un des deux intercepteurs WebSEAL fournis pour votre usage. Vous choisissez d'utiliser cet intercepteur en fournissant les propriétés décrites dans l'étape suivante. Avertissement : WebSphere Application Server tente d'initialiser ces deux intercepteurs même si vous n'avez fourni des propriétés que pour l'intercepteur com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus. Par conséquent, les messages AWXRB0008E et SECJ0384E peuvent apparaître lors de l'initialisation pour indiquer que l'intercepteur que vous n'avez pas choisi n'a pas pu s'initialiser. Il s'agit d'un processus normal qui n'affecte pas l'initialisation de l'intercepteur que vous avez sélectionné. Pour empêcher l'affichage des messages AWXRB0008E et SECJ0384E, vous pouvez supprimer l'intercepteur que vous ne voulez pas utiliser avant de commencer l'initialisation. Vous pourrez ajouter cet intercepteur ultérieurement si votre environnement change.
- Cliquez sur Propriétés personnalisées.
- Cliquez sur Nouveau pour saisir le nom et la valeur des propriétés. Assurez-vous que les paramètres suivants sont définis :
Tableau 1. Propriétés personnalisées.. Ce tableau répertorie les propriétés personnalisées TAI.
Option Description com.ibm.websphere.security. webseal.checkViaHeader
Vous pouvez configurer l'intercepteur TAI afin que l'en-tête VIA soit ignoré lorsque la relation de confiance d'une demande est validée. Associez cette propriété à la valeur false s'il est inutile d'établir une relation de confiance avec l'un des hôtes indiqués dans l'en-tête via. Lorsque la propriété est associée à la valeur false, vous n'avez pas besoin de définir les propriétés des noms d'hôte et des ports sécurisés. La seule propriété obligatoire à vérifier lorsque l'en-tête via est associé à la valeur false est com.ibm.websphere.security.webseal.loginId. La valeur par défaut de la propriété "via header" est false. Lorsque vous utilisez le plug-in Tivoli Access Manager pour les serveurs Web, paramétrez cette propriété sur false.
Remarque : L'en-tête via fait partie de l'en-tête HTTP standard qui enregistre les noms des serveurs par lesquels la demande transite.com.ibm.websphere.security. webseal.loginId
Utilisateur WebSEAL digne de confiance, tel qu'il a été créé dans la rubrique Création d'un compte utilisateur digne de confiance dans Tivoli Access Manager. Le format du nom d'utilisateur est abrégé. Cette propriété est obligatoire. Si elle n'est pas définie dans WebSphere Application Server, l'initialisation de TAI échoue. com.ibm.websphere.security. webseal.id
Liste d'en-têtes séparés par des virgules apparaissant dans la demande. Si la demande ne comporte pas tous les en-têtes configurés, la relation de confiance ne peut pas être établie. La valeur par défaut de la propriété ID est iv-creds. Toutes les autres valeurs définies dans WebSphere Application Server sont ajoutées à la liste avec les en-têtes iv-creds, séparées par les virgules. com.ibm.websphere.security. webseal.hostnames
Ne définissez pas cette propriété si vous utilisez le plug-in de serveurs Web de Tivoli Access Manager. La propriété définit les noms d'hôte dignes de confiance (respect de la distinction entre les majuscules et les minuscules) et attendus dans l'en-tête de la demande Les demandes émises par des hôtes non répertoriés risquent d'être rejetées. Si la propriété checkViaHeader n'est pas définie ou correspond à la valeur false, la propriété définissant les noms d'hôte sécurisés n'a pas d'incidence. Si la propriété checkViaHeader est associée à la valeur true et que la propriété indiquant les noms d'hôte sécurisés n'est pas définie, l'initialisation de l'intercepteur TAI échoue. com.ibm.websphere.security. webseal.ports
Ne définissez pas cette propriété si vous utilisez le plug-in de serveurs Web deTivoli Access Manager. Cette propriété correspond à une liste de ports d'hôte dignes de confiance, séparés par des virgules. Les demandes émises par des ports non répertoriés risquent d'être rejetées. Si la propriété checkViaHeader n'est pas définie ou qu'elle est associée à la valeur false, la propriété n'a pas d'incidence. Si la propriété checkViaHeader est associée à la valeur true et que la propriété des ports d'hôte dignes de confiance n'est pas définie dans WebSphere Application Server, l'initialisation de l'intercepteur TAI échoue. com.ibm.websphere.security. webseal.viaDepth
Entier positif indiquant le nombre d'hôtes source dans l'en-tête via pour vérifier la relation de confiance. Par défaut, tous les hôtes indiqués dans l'en-tête via sont vérifiés. Si l'un d'entre eux n'est pas digne de confiance, la relation de confiance ne peut pas être établie. La propriété "via depth" est utilisée lorsqu'il n'est pas nécessaire que tous les hôtes indiqués dans l'en-tête via soient dignes de confiance. Le paramètre indique le nombre d'hôtes, en partant de la droite de l'en-tête, qui doivent être dignes de confiance . A titre d'exemple, prenons en compte l'en-tête suivant :
Via: HTTP/1.1 webseal1:7002, 1.1 webseal2:7001
Si la propriété viaDepth n'est pas définie, est associée à la valeur 2 ou 0 et qu'une demande dotée de l'en-tête via précédent est reçue, webseal1:7002 et webseal2:7001 doivent être dignes de confiance. La configuration suivante s'applique :
com.ibm.websphere.security.webseal.hostnames = webseal1,webseal2 com.ibm.websphere.security.webseal.ports = 7002,7001
Si la propriété via depth correspond à 1 et que la demande précédente est reçue, le dernier hôte contenu dans l'en-tête via est le seul qui doit être digne de confiance. La configuration suivante s'applique :
com.ibm.websphere.security.webseal.hostnames = webseal2 com.ibm.websphere.security.webseal.ports = 7001
La propriété viaDepth correspond par défaut à 0, ce qui signifie que la relation de confiance est vérifiée pour tous les hôtes figurant dans l'en-tête via.
com.ibm.websphere.security. webseal.ssoPwdExpiry
Une fois que la relation de confiance est établie pour une demande, le mot de passe de la connexion SSO est mis en mémoire cache pour éviter que l'intercepteur TAI ait à réauthentifier l'utilisateur de la connexion SSO auprès de Tivoli Access Manager pour chaque demande. Vous pouvez modifier la période d'expiration de la mémoire cache en associant la propriété d'expiration du mot de passe SSO à la durée requise, en secondes. Si la propriété d'expiration du mot de passe correspond à 0, le mot de passe placé en mémoire cache n'arrive jamais à expiration. La valeur par défaut de la propriété d'expiration du mot de passe est 600. com.ibm.websphere.security. webseal.ignoreProxy
Cette propriété est utilisée pour indiquer à l'intercepteur TAI d'ignorer les systèmes proxy comme hôtes dignes de confiance. Si cette propriété est associée à la valeur true, la zone comments de l'entrée hosts dans l'en-tête via est vérifiée pour déterminer si un hôte est un proxy. Notez que les systèmes proxy n'insèrent pas tous des commentaires dans l'en-tête via pour indiquer qu'il sont des systèmes proxy. La valeur par défaut de la propriété ignoreProxy est false. Si la propriété checkViaHeader n'est pas associée à la valeur false, la propriété ignoreProxy n'a pas d'incidence dans l'établissement de la relation de confiance. com.ibm.websphere.security. webseal.configURL
L'intercepteur TAI peut établir une relation de confiance pour une demande si SvrSslCfg est exécuté sur la machine virtuelle Java™ sur le serveur d'applications pour créer un fichier de propriétés. Si ce fichier de propriétés ne se trouve pas à l'adresse URL par défaut, file://java.home/PdPerm.properties, vous devez indiquer l'adresse URL correcte du fichier de propriétés dans la propriété d'URL de configuration. Si cette propriété n'est pas définie et que le fichier de propriétés généré SvrSslCfg-generated ne se trouve pas dans l'emplacement par défaut, l'initialisation de l'intercepteur TAI échoue. La valeur par défaut de la propriété d'URL de configuration est file://$WAS_HOME/java/jre/PdPerm.properties.
Définissez cette propriété sur racine_profil/etc/pd/PolicyDirector/PDPerm.properties. Pour que l'intercepteur TAI établisse une relation de confiance pour une demande, un fichier PDPerm.properties doit exister dans chaque noeud de la cellule. De même, l'adresse URL correcte du fichier de propriétés doit être définie dans la propriété d'URL de configuration. Si cette propriété n'est pas définie ou si le fichier PDPerm.properties ne se trouve pas à l'emplacement spécifié, l'initialisation de l'intercepteur TAI échoue. Le fichier PDPerm.properties fait partie de la configuration Tivoli Access Manager pour un noeud. Pour créer la configuration Tivoli Access Manager, exécutez le script pdjrtecfg, puis le script svrsslcfg pour chaque noeud de la cellule. Le fichier PDPerm.properties est créé dans le répertoire racine_profil/etc/pd/PolicyDirector/.
- Cliquez sur OK.
- Sauvegardez la configuration et déconnectez-vous.
- Redémarrez WebSphere Application Server.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ssowsstep4TAIplusplus
Nom du fichier : tsec_ssowsstep4TAIplusplus.html