Sélection d'un mécanisme d'authentification

Un mécanisme d'authentification définit des règles concernant les informations de sécurité, qui indiquent par exemple si des justificatifs peuvent être transmis à un autre processus Java™, ainsi que le format de stockage des informations de sécurité dans les justificatifs et les jetons. Vous pouvez sélectionner et configurer un mécanisme d'authentification en utilisant la console d'administration.

Pourquoi et quand exécuter cette tâche

L'authentification est le processus permettant de déterminer si un client est bien celui qu'il prétend être dans un contexte particulier. Le client peut être un utilisateur, un système ou une application. En règle générale, le mécanisme d'authentification de WebSphere Application Server fonctionne en relation étroite avec un registre d'utilisateurs. Le registre d'utilisateurs est le référentiel de compte de groupes et d'utilisateurs consulté par le mécanisme d'authentification lors de la procédure. Le mécanisme d'authentification est chargé de créer des justificatifs, qui constituent la représentation interne d'un utilisateur client correctement authentifié. Tous les justificatifs ne sont pas créés de manière identique. Les fonctions du justificatif sont déterminées par le mécanisme d'authentification configuré.

WebSphere Application Server fournit trois mécanismes d'authentification : LPTA (Lightweight Third Party Authentication), Kerberos, et SWAM (RSA token authentication).

La prise en charge de la sécurité pour Kerberos en tant que mécanisme d'authentification a été ajoutée pour cette édition de WebSphere Application Server. Kerberos (KRB5) est un protocole d'authentification réseau mûr, souple, ouvert et très sécurisé. Kerberos inclut l'authentification, l'authentification mutuelle, l'intégrité et la confidentialité des messages ainsi que des fonctions de délégation. KRB5 est utilisé pour Kerberos dans la console d'administration et dans les fichiers sas.client.props, soap.client.props et ipc.client.props.

Le mécanisme d'authentification du jeton RSA est nouveau dans cette version de WebSphere Application Server. Il aide l'objectif de gestion flexible à conserver les configurations de profil de base et à les isoler du point de vue de la sécurité. Ce mécanisme permet aux profils de base gérés par un agent administratif d'avoir des clés LTPA (Lightweight Third-Party Authentication), des registres utilisateur et des utilisateurs administratifs différents.

Remarque : Le mécanisme SWAM (Simple WebSphere Authentication Mechanism) est obsolète dans cette version. Il n'offre pas de communications authentifiées entre les différents serveurs.

L'authentification est obligatoire pour les clients de bean enterprise et les clients Web lorsqu'ils accèdent à des ressources protégées. Les clients de bean enterprise, tels qu'un servlet, d'autres beans enterprise ou un client pur, envoient les informations d'authentification à un serveur d'applications Web à l'aide de l'un des protocoles suivants :

  • CSIv2 (Common Secure Interoperability Version 2)
  • [AIX Solaris HP-UX Linux Windows][IBM i]SAS (Secure Authentication Service)
    Remarque : SAS est pris en charge uniquement sur les serveurs version 6.0.x et antérieure qui ont été fédérés dans une cellule version 6.1.
  • [z/OS]z/OS Secure Authentication Service (z/SAS)
    Remarque : z/SAS est pris en charge uniquement sur les serveurs version 6.0.x et versions antérieures qui ont été fédérés dans une cellule version 6.1.

Les clients Web utilisent le protocole HTTP ou HTTPS pour envoyer les informations d'authentification.

Les données d'authentification peuvent être constituées par des éléments de base (ID utilisateur et mot de passe), un jeton de justificatif ou un certificat client. L'authentification Web s'effectue par le biais du module d'authentification Web.

Vous pouvez configurer l'authentification Web pour un client Web par le biais de la console d'administration. Cliquez sur Sécurité > Sécurité globale. Sous Authentification, développez Sécurité Web et SIP, puis cliquez sur Paramètres généraux. Les options disponibles pour l'authentification Web sont décrites ci-dessous.
Authentifier uniquement quand l'URI est protégé
Indique que le client Web ne peut extraire une identité authentifiée qu'au moment où il accède à un URI (Uniform Resource Identifier) protégé. WebSphere Application Server invite le client Web à fournir des données d'authentification lorsque celui-ci accède à un URI (Uniform Resource Identifier) protégé par un rôle J2EE. Cette option par défaut est également disponible dans les versions antérieures de WebSphere Application Server.
Utiliser les données d'authentification disponibles lors de l'accès à un URI protégé
Indique que le client Web est autorisé à appeler les méthodes getRemoteUser, isUserInRole et getUserPrincipal ; il extrait une identité authentifiée d'un URI protégé ou non protégé. Bien qu'elles ne soient pas utilisées lors de l'accès à un URI non protégé, les données d'authentification sont conservées en vue d'une utilisation future. Cette option est disponible lorsque vous cochez la case Authentifier uniquement quand l'URI est protégé.
Authentifier quand un URI est accédé
Indique que le client Web doit fournir des données d'authentification indépendamment du fait que l'URI soit protégé ou non.
Valeur par défaut de l'authentification standard quand l'authentification par certificat du client HTTPS échoue.
Indique que WebSphere Application Server invite le client Web à fournir un ID utilisateur et un mot de passe lorsque l'authentification par certificat du client HTTPS obligatoire échoue.

L'authentification des beans enterprise est effectuée par le module d'authentification EJB (Enterprise JavaBeans).

[AIX Solaris HP-UX Linux Windows][IBM i]Le module d'authentification EJB réside dans la couche CSIv2 et SAS.

[z/OS]Le module d'authentification EJB réside dans la couche CSIv2 et z/SAS.

Le module d'authentification est implémenté à l'aide du module de connexion JAAS (Java Authentication and Authorization Service). L'authentificateur Web et l'authentificateur d'EJB transmettent les données d'authentification au module de connexion, qui peut utiliser les mécanismes suivants pour authentifier les données :

  • Kerberos
  • LTPA
  • Jeton RSA
  • [z/OS]SWAM (Simple WebSphere Authentication Mechanism)
    Remarque : SWAM est obsolète dans WebSphere Application Server version 6.1 et sera supprimé dans une version future.
Le module d'authentification utilise le registre configuré sur le système pour effectuer l'authentification. Quatre types de registre sont pris en charge :
  • Référentiels fédérés
  • Système d'exploitation local
  • Registre LDAP (Lightweight Directory Access Protocol) autonome
  • Registre personnalisé autonome

La mise en oeuvre d'un registre externe conforme à l'interface du registre indiquée par IBM® peut remplacer le registre du système d'exploitation local ou le registre LDAP.

Une fois l'authentification terminée, le module de connexion crée un sujet JAAS et stocke le justificatif extrait des données d'authentification dans la liste des justificatifs publics du sujet. Le justificatif est renvoyé à l'authentificateur Web ou à l'authentificateur de beans enterprise.

[AIX Solaris HP-UX Linux Windows][IBM i]Les authentificateurs Web et de beans enterprise stockent les justificatifs reçus dans l'objet ORB (Object Request Broker) courant pour que le service puisse les utiliser afin d'effectuer le contrôle d'accès. S'il sont transmissibles, les justificatifs sont envoyés aux autres serveurs d'applications.

[z/OS]L'authentificateur Web et l'authentificateur de beans enterprise stockent les justificatifs reçus pour que le service d'authentification puisse les utiliser pour effectuer des contrôles d'accès plus poussés.

Vous pouvez configurer des mécanismes d'authentification dans la console d'administration en procédant comme suit :

Procédure

  1. Cliquez sur Sécurité > Sécurité globale.
  2. Sous Mécanismes et expiration d'authentification, sélectionnez un mécanisme d'authentification à configurer.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_aumech
Nom du fichier : tsec_aumech.html