Sécurisation de WS-Notification

La mise en oeuvre de la sécurité WS-Notification requiert l'insertion de l'identité d'un utilisateur dans les demandes de services WS-Notification. Cette identité permet d'authentifier l'application client et de vérifier que le client est autorisé à appeler l'opération demandée et à accéder aux espaces de sujet et aux ressources de sujet du bus d'intégration sous-jacents.

Pourquoi et quand exécuter cette tâche

WS-Notification utilise les mêmes dispositifs que les autres services Web pour fournir une identité authentifiée. Par exemple, WS-Security ou authentification HTTP de base.

La configuration de l'accès sécurisé à WS-Notification comporte trois volets :
  • Sécurisation du canal de communication entre l'application et le serveur
  • Autorisation donnée à l'application d'appeler NotificationBroker
  • Autorisation donnée à l'application d'accéder aux ressources du bus d'intégration de services.

Si la sécurité de la messagerie est activée, et que les composants WS-Security ou d'authentification de base HTTP ne sont pas configurés pour l'insertion de l'identité d'un utilisateur dans les demandes WS-Notification, alors, toutes ces demandes sont considérées comme non authentifiées et ne peuvent accéder qu'aux ressources de messagerie du groupe WebSphere Application Server "Tous les utilisateurs".

Procédure

  1. Sécurisez les communications entre l'application et le serveur :
    1. Sécurisez les demandes entrantes et les réponses associées en configurant le point de service WS-Notification.
    2. Activez la sécurité des demandes entrantes (par exemple, les notifications envoyées du serveur aux utilisateurs abonnés) en configurant le service WS-Notification.
      • Pour les services WS-Notification version 7.0 basés sur JAX-WS, les étapes sont similaires à celles de l'application de la sécurité aux clients de service Web JAX-WS, mais toute liaison ou configuration créée est appliquée au service WS-Notification. Pour plus d'informations, voir la rubrique Sécurisation des services Web JAX-WS à l'aide d'une sécurité au niveau des messages.
      • Pour les services WS-Notification version 6.1 basés sur JAX-RPC, les étapes sont similaires à celles de l'application de la sécurité aux ports sortants des services Web activés par un bus d'intégration de services, mais toute liaison ou configuration créée est appliquée au service WS-Notification. Pour plus d'informations, voir Protection des services Web activés par un bus et les sous-rubriques associées, notamment, Appel de services sortants via HTTPS.
    3. Vous pouvez également utiliser WS-Security pour signer ou chiffrer les messages SOAP.
  2. Autorisez l'application à appeler NotificationBroker :
    1. Configurez l'application client pour fournir une identité appropriée.
      Pour autoriser une application de service Web à communiquer avec le serveur, l'application doit s'identifier comme étant exécutée en tant qu'identité authentifiée. Le mécanisme utilisé pour cette opération dépend du type de liaison de service Web utilisée :
      • Si vous utilisez des liaisons de service Web SOAP sur HTTP, utilisez l'authentification HTTP de base ou WS-Security pour fournir l'identité authentifiée.
      • Si vous utilisez des liaisons de service Web SOAP sur JMS (pour les services WS-Notification version 6.1), utilisez WS-Security pour fournir une identité identifiée.
    2. Configurez le serveur pour autoriser l'identité d'application client à effectuer les opérations requises.
  3. Autorisez l'application à accéder aux ressources du bus d'intégration de services.

    La sécurité de bus d'intégration de services utilise l'autorisation basée sur des rôles. Lorsque vous affectez un utilisateur à un rôle, vous octroyez à l'utilisateur tous les droits de ce rôle. En administrant les droits d'accès, vous pouvez contrôler l'accès utilisateur à un bus et à ses ressources lorsque la sécurité de la messagerie est activée.

    1. Autorisez l'identité d'application pour pouvoir vous connecter au bus d'intégration de services, comme décrit dans Administration du rôle de connecteur du bus.
    2. Lorsque l'application peut se connecter au bus, attribuez à l'application l'accès aux destinations appropriées du bus.

      Vous pouvez déterminer les espaces de sujet de bus d'intégration requis, en vérifiant les espaces de nom de sujet WS-Notification utilisés par l'application et en recherchant dans l'espace de nom de sujet permanent WS-Notification l'espace de sujet de bus d'intégration de services auquel il est mappé. Vous pouvez alors accorder l'autorisation (par exemple, aux rôles d'expéditeur ou de destinataire) pour que l'identité authentifiée puisse accéder à cet espace de sujet comme décrit dans Administration des rôles de destination.

    3. Une fois l'application client autorisée à accéder à la destination d'espace de sujet appropriée, il peut également être nécessaire de l'autoriser à accéder à de sujets particuliers de la destination comme décrit dans Administration des rôles de sujet.
    Pour obtenir des informations générales sur la configuration de l'accès au bus d'intégration de services, voir Sécurisation de l'intégration de services.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjwsn_sec
Nom du fichier : tjwsn_sec.html