Propriétés personnalisées de la sécurité des services Web

Vous pouvez configurer des paires de données nom-valeur arbitraires, où le nom est une clé de propriété et la valeur une chaîne, pouvant être utilisées pour définir des propriétés de configuration du système interne. La définition d'une nouvelle propriété permet de configurer un paramètre sans se limiter aux options disponibles dans la console d'administration.

Les propriétés personnalisées liées à la sécurité des services Web peuvent être définies à différents niveaux du serveur d'applications et de manière distincte pour les applications JAX-RPC et les applications JAX-WS. La liste qui suit présente les propriétés personnalisées concernées, leur emplacement, leurs paramètres et la manière dont elles sont utilisées.

Le module de connexion de jeton de sécurité générique de la sécurité des services Web ainsi que les propriétés personnalisées de jeton SAM de sécurité des services Web sont documentés dans d'autres rubriques d'informations. Des liens vers ces rubriques sont fournis dans la section Références connexes de la présente rubrique.

Vous pouvez définir les propriétés personnalisées de services Web suivantes :

com.ibm.websvcs.client.serializeSecurityContext

Lorsqu'un client JAX-WS est exécuté sur un serveur d'applications, les appels de service peuvent être plus lents lorsque la sécurité de base est activée que lorsqu'elle ne l'est pas. Pour ajuster la vitesse des appels de service, vous pouvez utiliser la propriété com.ibm.websvcs.client.serializeSecurityContext. Lorsque la propriété com.ibm.websvcs.client.serializeSecurityContext a pour valeur false dans le contexte de demande sur le fournisseur de liaisons pour l'appel de service, le contexte de sécurité WebSphere n'est pas sérialisé dans le contexte des messages des services Web. L'exemple suivant illustre la définition de cette propriété :
javax.xml.ws.BindingProvider bp;

bp.getRequestContext().put("com.ibm.websvcs.client.serializeSecurityContext", "false");
Remarque : La propriété com.ibm.websvcs.client.serializeSecurityContext ne peut pas être utilisée en conjonction avec un ensemble de règles de messagerie fiable.
Information valeur
Type de données String (chaîne)
Valeurs True, False
Valeut par défaut True

com.ibm.ws.wssecurity.createSTR

La propriété com.ibm.ws.wssecurity.createSTR crée une référence de jeton de sécurité pour le jeton de sécurité de l'en-tête de sécurité SOAP lorsque vous définissez une valeur True.

Vous pouvez paramétrer cette propriété sur True, la propriété com.ibm.ws.wssecurity.createSTR crée une référence de jeton de sécurité pour le jeton de sécurité de l'en-tête de sécurité SOAP. Paramétrez cette propriété personnalisée sur True lorsque les conditions suivantes s'appliquent :
  • Le mécanisme de référencement pour la signature de jeton est STR Dereference Transform, http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
  • L'élément SignedParts des règles de sécurité WS contient une valeur XPath qui représente SecurityTokenReference.

Cette propriété est configurée comme propriété personnalisée dans le générateur de jeton SAML. Elle n'est pas configurée dans le gestionnaire d'appel.

Information valeur
Type de données String (chaîne)
Valeurs True, False
Valeut par défaut False

La valeur de cette propriété est insensible à la casse.

com.ibm.ws.wssecurity.dsig.SignatureAlgorithm

Utilisez cette propriété personnalisée afin de configurer une signature numérique ; vous pouvez activer l'exécution de la sécurité des services Web en vue de l'utilisation d'algorithmes de signature SHA-2.

Pour les applications JAX-WS, définissez la propriété personnalisée suivantes dans la section des informations de signature de la demande ou de la réponse afin d'activer les algorithmes de signature SHA-2. Veillez à utiliser la même valeur pour le client et le fournisseur lorsque vous configurez cette propriété personnalisée.

La propriété personnalisée com.ibm.ws.wssecurity.dsig.SignatureAlgorithm spécifie les algorithmes de signature SHA-2 pour les signatures numériques XML. Par défaut, WebSphere Application Server utilise SHA1withRSA ou HMACSHA1 pour générer des signatures numériques.
Information valeur
Type de données String (chaîne)
Valeurs rsa-sha256, rsa-sha384, rsa-sha512, hmac-sha256, hmac-sha384, hmac-sha512 ou dsa-sha256
Pour les applications JAX-WS, vous pouvez configurer la propriété personnalisée com.ibm.ws.wssecurity.dsig.SignatureAlgorithm dans les informations de signature sortantes ou les informations de signature entrantes. Pour configurer com.ibm.ws.wssecurity.dsig.SignatureAlgorithm, effectuez les opérations suivantes :
  1. Cliquez sur Services > Clients de service ou Fournisseurs de services.
  2. Cliquez sur nom_service > nom_liaison.
  3. Sous Règles, cliquez sur WS-Security.
  4. Sous Liaisons de la règle de sécurité du message, cliquez sur Authentification et protection.
  5. Sous Protection par chiffrement et signature du message de demande ou Protection par chiffrement et signature de message de réponse, cliquez sur référence_message_signature.

    Lorsque vous sélectionnez le nom référence_message_signature, vous accédez à la configuration de la liaison du message signé.

  6. Spécifiez la propriété personnalisée, par exemple com.ibm.ws.wssecurity.dsig.SignatureAlgorithm, et entrez l'algorithme de votre choix comme valeur de la propriété avec l'une des valeurs identifiées dans la table précédente.

com.ibm.ws.wssecurity.sc.FaultCode

Utilisez cette propriété personnalisée dans un module de connexion JAAS pour définir le code d'erreur SOAP dans le cas d'une erreur. Si cette propriété n'est pas spécifiée, le code d'erreur SOAP wsse:FailedAuthentication est systématiquement renvoyé.

Dans le module de connexion JAAS personnalisé, paramétrez la propriété com.ibm.ws.wssecurity.sc.FaultCode du contexte wssecurity sur le QName du code d'erreur que vous souhaitez utiliser. Par exemple :

fcQname = new QName(
          "http://schemas.xmlsoap.org/ws/2003/06/secext",
          "FailedCheck"); 
this._context = propertyCallback.getProperties();
 _context.put("com.ibm.ws.wssecurity.sc.FaultCode", fcQname);
Information valeur
Type de données String (chaîne)
Valeut par défaut aucun

com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig

La propriété com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig, qui est configurée au niveau du programme appelant, indique le nom de la configuration de connexion JAAS utilisée par la fonction de sécurité des services Web pour obtenir les données d'autorisation de WebSphere Application Server. Vous devez configurer cette propriété à l'aide d'un outil d'assemblage tel que Rational Application Developer. Pour plus d'informations sur Rational Application Developer, voir la rubrique Configuration du programme appelant dans les contraintes de sécurité du consommateur. Dans cette rubrique, la propriété personnalisée est définie quand vous configurez la vérification d'identité.

Utilisez cette propriété uniquement avec des applications JAX-RPC WS-Security V1.0.

Information valeur
Type de données String (chaîne)
Valeut par défaut system.DEFAULT

com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled

Lorsque la propriété personnalisée com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled prend la valeur true, la sécurité des Services Web n'impose pas les contraintes WS-Security configurées si la sécurité de l'application est désactivée sur le serveur d'applications. Vous pouvez utiliser cette propriété personnalisée pour déboguer les services dans un environnement non sécurisé, sans avoir à supprimer les contraintes de sécurité des applications de services Web.

Pratiques recommandées Pratiques recommandées: N'utilisez cette propriété personnalisée que pour l'établissement d'un diagnostique. Ne l'utilisez pas dans un environnement de production.bprac
Information valeur
Type de données String (chaîne)
Valeurs true, false
Defaultfalse false
Cette propriété personnalisée peut être utilisée comme propriété personnalisée entrante, ou entrante et sortante, pour les liaisons d'ensemble de règles. Procédez comme suit dans la console d'administration pour définir la propriété personnalisée :
  1. Développez Services > Ensembles de règles.
  2. Cliquez sur Liaisons générales de l'ensemble de règles du fournisseur ou Liaisons générales de l'ensemble de règles du client.
  3. Cliquez sur nom_liaison.
  4. Sous le titre Règles, cliquez surWS-Security > Propriétés personnalisées.
Cette propriété personnalisée peut aussi être définie en tant que paramètre ou propriété de liaison entrante dans votre application à l'aide de l'utilitaire wsadmin. Les noms de propriétés du type de règle WS-Security suivants sont utilisés dans setBinding :
  • application.parameters
  • application.securityinboundbinding config.properties

com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens

La propriété personnalisée com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens indique s'il faut mettre en mémoire cache UsernameTokens tout le temps, ce qui correspond au comportement par défaut, ou s'il faut les mettre en mémoire cache comme l'indique un ensemble de règles. Vous pouvez configurer cette propriété personnalisée pour le générateur de jeton ou en tant que propriété supplémentaire.

Lorsque la propriété personnalisé com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens prend la valeur false, les jetons UsernameToken sont toujours mis en cache dans les unités d'exécution du client. Si vous paramétrez cette propriété personnalisée sur true, l'exécution de sécurité des services Web détermine si les jetons UsernameTokens sont mis en mémoire cache conformément aux règles suivantes :
  • Ne mettez jamais en mémoire cache les jetons UsernameTokens si l'application est exécutée sur un serveur d'applications.
  • Mettez en mémoire cache les jetons UsernameTokens si le générateur de jeton de UsernameToken a le gestionnaire d'appel suivant configuré : com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler.

Cette propriété personnalisée s'applique uniquement à l'exécution JAX-RPC. Utilisez un outil d'assemblage tel que Rational Application Developer, pour paramétrer la propriété personnalisée dans les liaisons des parties de message chiffré.

Information valeur
Type de données String (chaîne)
Valeurs true, false
Valeut par défaut false

com.ibm.wsspi.wssecurity.config.request.setMustUnderstand et com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne

Ces deux propriétés personnalisées permettent à l'administrateur de contrôler la définition de l'attribut mustUnderstand dans l'en-tête de sécurité SOAP. Elles sont définies en tant que propriétés personnalisées sortantes.

Vous pouvez configurer les propriétés personnalisées du générateur en sortie suivantes pour la sécurité des services Web :
com.ibm.wsspi.wssecurity.config.request.setMustUnderstand

La propriété personnalisée com.ibm.wsspi.wssecurity.config.request.setMustUnderstand spécifie le paramètre mustUnderstand dans les demandes sortantes de destinataire. Si cette propriété a la valeur zéro (0), no, ou false, l'attribut mustUnderstand n'est pas défini dans l'en-tête WS-Security des demandes sortantes.

Information valeur
Type de données String (chaîne)
valeur Zéro (0), no, false
Valeut par défaut true

Dans les messages SOAP, la valeur par défaut de l'attribut mustUnderstand est zéro (0). Conformément à la spécification SOAP, si l'attribut doit avoir la valeur zéro, il ne doit pas être présent dans le message.

Eviter les incidents Eviter les incidents: Les instructions pour définir la propriété com.ibm.wsspi.wssecurity.config.request.setMustUnderstand sont les mêmes que pour la propriété com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne et sont indiquées ci-dessous.gotcha
com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne

La propriété personnalisée com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne spécifie que le fournisseur doit toujours répondre avec un attribut mustUnderstand="1" dans l'en-tête de sécurité SOAP. Si la valeur est égale à un (1), yes, ou true, le fournisseur répond avec l'attribut mustUnderstand="1" dans l'en-tête WS-Security. false est la valeur par défaut de l'attribut.

Information valeur
Type de données String (chaîne)
valeur Un (1), yes, ou true
Valeut par défaut false

Par défaut, la réponse contient le même attribut mustUnderstand que la demande. Si, par exemple, mustUnderstand="1" est défini dans la demande entrante, la réponse comportera mustUnderstand="1" elle aussi. Si la demande ne comporte pas d'attribut mustUnderstand, la réponse n'en inclura pas non plus.

Pour les applications JAX-WS, vous pouvez définir les propriétés personnalisées com.ibm.wsspi.wssecurity.config.request.setMustUnderstand et com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne en tant que propriétés personnalisées sortantes ou en tant que propriétés personnalisées entrantes et sortantes pour les liaisons des ensembles de règles. Effectuez les opérations suivantes dans la console d'administration pour définir les propriétés personnalisées :
  1. Développez Services > Ensembles de règles.
  2. Cliquez sur Liaisons générales de l'ensemble de règles du fournisseur ou Liaisons générales de l'ensemble de règles du client.
  3. Cliquez sur nom_liaison.
  4. Sous le titre Règles, cliquez surWS-Security > Propriétés personnalisées.
Vous pouvez également définir les propriétés personnalisées com.ibm.wsspi.wssecurity.config.request.setMustUnderstand et com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne en tant que paramètres ou en tant que propriétés de liaison sortantes pour votre application à l'aide des outils wsadmin. Les noms de propriétés du type de règle WS-Security suivants sont utilisés dans setBinding :
  • application.parameters
  • application.securityinboundbindingconfig.properties
Pour les applications JAX-RPC, vous pouvez indiquer les deux propriétés dans la console d'administration aux emplacements suivants :
  • Cliquez sur Serveurs > Types de serveurs > Serveurs d'applications WebSphere > nom_serveur. Sous Sécurité, cliquez sur Exécution de la sécurité JAX-WS et JAX-RPC. Dans la section Liaisons de générateur par défaut JAX-RPC, cliquez sur Propriétés.
  • Cliquez sur Serveurs > Types de serveurs > Serveurs d'applications WebSphere > nom_serveur. Sous Sécurité, cliquez sur Exécution de la sécurité JAX-WS et JAX-RPC. Sous Propriétés personnalisées, sélectionnez Propriétés personnalisées.

Si vous utilisez un outil d'assemblage avec une application JAX-RPC WS-Security version 1.0, vous pouvez définir la propriété personnalisée com.ibm.wsspi.wssecurity.config.request.setMustUnderstand dans l'extension ou la liaison du générateur de la demande de sécurité. Vous pouvez définir la propriété personnalisée com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne dans la liaison ou l'extension du générateur de la réponse. Un paramètre de la liaison a priorité sur un paramètre de l'extension.

Si vous utilisez un outil d'assemblage avec une application JAX-RPC WS-Security intermédiaire de niveau 13, vous pouvez définir la propriété personnalisée com.ibm.wsspi.wssecurity.config.request.setMustUnderstand en tant que paramètre dans la liaison du nom qualifié du port. Vous pouvez définir la propriété personnalisée com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne en tant que paramètre dans la liaison du composant de port.

com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure

La propriété personnalisée com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure indique si un fichier de clés certifiées peut être rechargé après le démarrage d'un serveur d'applications.

Un fichier de clés certifiées est un fichier de clés Par défaut, JAX-WS WS-Security n'indique pas l'actualisation des fichiers de clés lorsque le serveur est actif. Pour des raisons de performance, les fichiers de clés sont mis en cache lorsque chaque application est démarrée. Comme le cache est partagé entre les applications, même si une seule application est arrêtée, ses fichiers de clés restent en cache. Par conséquent, si un certificat accrédité, utilisé par un consommateur de jeton X.509, est ajouté à un fichier de clés certifiées après le démarrage du serveur, la validation de l'accréditation échoue.

Si vous affectez à la propriété com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure la valeur true, lorsqu'une validation se produit, l'exécution WS-Security recharge son fichier de clés certifiées configuré et tente la validation d'accréditation de nouveau. Le fichier de clés certifiées rechargé est utilisé uniquement pour cette tentative de re-validation. L'objet fichier de clés dans le cache n'est pas remplacé, car cette opération peut générer des problèmes d'accès concurrents.

Si la seconde validation échoue, un échec de validation d'accréditation est envoyé au client.

Par défaut, cette propriété a la valeur false.
Eviter les incidents Eviter les incidents: Cette propriété est définie comme propriété personnalisée dans le gestionnaire d'appel d'un consommation de jeton X.509, PKIPath ou PKCS#7. Pour définir cette propriété dans la console d'administration, cliquez sur nom_liaison > WS-Security > Authentification et protection > nom_jeton > Gestionnaire d'appel. Pour une application utilisant l'API WS-Security WSS, cette propriété peut être également définie dans le gestionnaire d'appel pour les consommateurs de jeton déjà listés.gotcha

com.ibm.wsspi.wssecurity.consumer.timestampRequired

La propriété com.ibm.wsspi.wssecurity.consumer.timestampRequired indique si l'horodatage n'est pas attendu dans l'en-tête de sécurité de la réponse lorsque le paramètre Inclure l'horodatage dans l'en-tête de sécurité est sélectionné pour la règle WS-Security.

L'environnement d'exécution JAX-WS WS-Security est mise à jour pour être conforme à l'exigence d'horodatage requis pour la spécification OASIS WS-SecurityPolicy 1.2. Si vous souhaitez configurer une application de telle sorte qu'aucun horodatage entrant ne soit requis lorsqu'un horodatage sortant est configuré, vous pouvez ajouter la propriété personnalisée com.ibm.wsspi.wssecurity.consumer.timestampRequired à vos paramètres de sécurité des services Web et affecter à cette propriété la valeur false. Lorsque cette propriété a pour valeur false, même si le paramètre Inclure l'horodatage dans l'en-tête de sécurité est sélectionné pour la règle WS-Security, aucun horodatage n'est attendu dans l'en-tête de sécurité d'une réponse.

La valeur par défaut de cette propriété est true.

Eviter les incidents Eviter les incidents: Dans le panneau des propriétés personnalisées, vous pouvez définir cette propriété sous la forme d'une propriété personnalisée entrante ou entrante/sortante. Elle n'est pas valide sous forme de propriété personnalisée sortante.gotcha
Information valeur
Type de données Booléenne
Valeut par défaut true

com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces

Cette propriété personnalisée, qui s'applique à la fois aux applications JAX-RPC et JAX-WS, indique s'il faut désactiver la liste des préfixes d'espace de nom inclusif pour les signatures numériques XML. Par défaut, WebSphere Application Server inclut le préfixe dans la signature numérique pour la sécurité des Services Web. Affectez à cette propriété personnalisée la valeur "false" si vous ne souhaitez pas définir les espaces de nom inclusifs en tant qu'élément. Certaines implémentations de la sécurité des services Web ne peuvent pas gérer cette liste de préfixes. En cas d'incident lié à la validation des signatures lors de l'envoi d'un message SOAP, si vous utilisez un autre fournisseur dans votre environnement, vérifiez avec lui s'il existe un correctif avant de désactiver cette propriété.

Pour les applications JAX-RPC, vous pouvez définir cette propriété personnalisée dans la console d'administration, dans les données de signature, ou en tant que propriété personnalisée de sécurité des services Web, dans les propriétés supplémentaires, ou encore dans les liaisons du générateur personnalisé ou par défaut. Pour plus d'informations, voir les sections relatives aux propriétés supplémentaires et au générateur, dans la rubrique Configuration des propriétés personnalisées pour sécuriser les services Web. Pour ajouter la propriété personnalisée dans les informations de signature, procédez comme suit :
  1. Cliquez sur Applications > Applications d'entreprise > nom_application.
  2. Cliquez sur Gestion des modules > nom_module.
  3. Sous Propriétés de la sécurité des services Web, cliquez sur Services Web : Liaisons de sécurité du client ou Services Web : Liaisons de sécurité du serveur.
  4. Sous Liaison du générateur de requête (émetteur), ou Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées.
  5. Dans la section Propriétés requises, sélectionnez Informations relatives à la signature > nom_informations_signature > Propriétés.
  6. Indiquez la propriété personnalisée et sa valeur.
Pour les applications JAX-WS, vous pouvez configurer cette propriété personnalisée dans les données de signature sortante. Pour configurer la propriété personnalisée, procédez comme suit :
  1. Cliquez sur Services > Clients de service ou Services > Fournisseurs de services.
  2. Cliquez sur nom_service > nom_liaison.
  3. Sous Règles, cliquez sur WS-Security
  4. Sous Liaisons de la règle de sécurité du message, cliquez sur Authentification et protection .
  5. Dans la section de protection des messages de demande par signature et chiffrement ou dans la section de la protection des messages de réponse par signature et chiffrement, cliquez sur référence_message_signature. Quand vous cliquez sur le nom référence_message_signature, vous accédez à la configuration de la liaison du message signé.
  6. Indiquez la propriété personnalisée et sa valeur.

com.ibm.wsspi.wssecurity.dsig.oldEnvelopedSignature

Utilisez cette propriété en conjonction avec la propriété personnalisée JVM com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty pour indiquer à l'environnement d'exécution WS-Security qu'il doit calculer la valeur de synthèse (digest), comme dans les versions 7.0.0.21 et antérieures pour la création de signature numérique XML sortante ou la vérification entrante. Pour plus d'informations, reportez-vous aux propriétés personnalisées Java™ Virtual Machine (JVM) pour savoir quand l'utiliser.

Cette propriété est spécifiée comme propriété personnalisée entrante, sortante ou entrante et sortante pour les liaisons des ensembles de règles WS-Security.

com.ibm.wsspi.wssecurity.enc.MTOM.Optimize

Définissez la valeur de cette propriété personnalisée sur true pour utiliser MTOM (Message Transmission Optimization Mechanism) pour le texte chiffré correspondant aux données. Cette propriété est définie dans les liaisons des règles WS-Security pour les parties chiffrées sortantes des demandes client ou les réponses serveur.

com.ibm.wsspi.wssecurity.generator.useWSSObject

Cette propriété personnalisée détermine la façon dont l'environnement d'exécution WS-Security génère l'en-tête de sécurité SOAP qui est envoyé dans un message SOAP sortant. Par défaut, l'environnement d'exécution utilise un raccourci utilisant des représentations d'objet WSS (Web Services Security) pour générer l'en-tête de sécurité. Vous avez également la possibilité d'utiliser l'environnement d'exécution et les objets Axis2 pour générer l'en-tête de sécurité.

Cette propriété est définie dans les liaisons d'ensemble de règles WS-Security sous la forme d'une propriété personnalisée sortante ou d'une propriété personnalisée entrante et sortante. Cette propriété peut avoir pour valeur true ou false. Lorsque cette propriété a pour valeur true, les objets WSS sont utilisés pour générer l'en-tête de sécurité. Lorsqu'elle a pour valeur false, les objets Axis2 sont utilisés pour générer l'en-tête de sécurité.

Lorsque les règles WS-Security et WS-Addressing sont utilisées pour les messages entrants et sortants, une erreur risque de se produire où l'élément Body apparaît dans l'élément d'en-tête du message SOAP sortant. Si cette erreur se produit, affectez à la propriété personnalisée com.ibm.wsspi.wssecurity.generator.useWSSObject la valeur false.

La valeur par défaut est true.

com.ibm.wsspi.wssecurity.krbtoken.clientRealm

Cette propriété personnalisée de générateur de jeton JAX-WS Kerberos définit le nom du domaine Kerberos associé au client et permet au domaine de lancer la connexion Kerberos.

Cette propriété est facultative pour un environnement de domaine Kerberos unique. Sa valeur par défaut est le nom du domaine Kerberos par défaut. Lors de l'implémentation de la sécurité des services Web dans un environnement Kerberos interdomaine ou de confiance, vous devez spécifier une valeur pour cette propriété.

Cette propriété est définie en tant que propriété personnalisée pour le gestionnaire d'appel d'un générateur de jeton Kerberos. Pour définir la propriété dans la console d'administration, cliquez sur nom_liaison > WS-Security > Authentification et protection > nom_jeton_kerberos > Gestionnaire de rappel. Pour une application utilisant l'API WS-Security WSS, cette propriété peut être également définie dans le gestionnaire d'appel Kerberos pour le générateur de jeton.

com.ibm.wsspi.wssecurity.krbtoken.loginPrompt

Définissez cette propriété personnalisée de générateur de jeton JAX-WS Kerberos sur true pour activer la connexion Kerberos.

Cette propriété est définie en tant que propriété personnalisée pour le gestionnaire d'appel d'un générateur de jeton Kerberos. Pour définir la propriété dans la console d'administration, cliquez sur nom_liaison > WS-Security > Authentification et protection > nom_jeton_kerberos > Gestionnaire de rappel. Pour une application utilisant l'API WS-Security WSS, cette propriété peut être également définie dans le gestionnaire d'appel Kerberos pour le générateur de jeton.

La valeur par défaut de cette propriété est false.

com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes

La propriété personnalisée com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes indique si l'environnement d'exécution WS-Security est mis à jour pour émettre le code d'erreur SOAP 1.2 approprié lorsqu'une erreur est renvoyée en réponse à un message SOAP 1.2.

Lorsque cette propriété a pour valeur true, l'environnement d'exécution WS-Security renvoie un code d'erreur SOAP 1.2 en réponse à un message SOAP 1.2.

Lorsque cette propriété a pour valeur false, l'environnement d'exécution WS-Security renvoie un code d'erreur SOAP 1.1 en réponse à un message SOAP 1.2.

La valeur par défaut de cette propriété est true.

Cette propriété doit être définie en tant que propriété personnalisée WS-Security Entrante ou Entrante et sortante pour une liaison spécifique.

Voici un exemple d'erreur SOAP 1.2 valide, renvoyée lorsque cette propriété est définie sur true :
<?xml version="1.0" encoding="UTF-8"?>
<soapenv:Envelope xmlns:soapenv=" http://www.w3.org/2003/05/soap-envelope"> 
  <soapenv:Body> 
    <soapenv:Fault> 
      <soapenv:Code> 
        <soapenv:Value>soapenv:Sender</soapenv:Value>
        <soapenv:Subcode>
          <soapenv:Value xmlns:axis2ns1="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
            axis2ns1:FailedAuthentication</soapenv:Value>
        </soapenv:Subcode> 
      </soapenv:Code> 
      <soapenv:Reason> 
        <soapenv:Text>CWWSS6521E: The Login failed because  
          of an exception: javax.security.auth.login.LoginException:  
          CWWSS7062E: Failed to check username [user1] and password in  
          the UserRegsitry: WSSUserRegistryProcessor.checkRegistry()=false 
        </soapenv:Text> 
      </soapenv:Reason> 
      <soapenv:Detail></soapenv:Detail> 
    </soapenv:Fault> 
  </soapenv:Body> 
</soapenv:Envelope>

com.ibm.wsspi.wssecurity.nonce.includeEncodingType

Cette propriété personnalisée JAX-WS est ajoutée à l'environnement d'exécution WebSphere WS-Security pour indiquer qu'un attribut EncodingType doit être ajouté aux éléments nonce. Lorsque cette propriété a la valeur true, l'attribut EncodingType est ajouté aux éléments nonce dans l'en-tête SOAP Security.

Les valeurs admises pour cette propriété sont true et false. La valeur par défaut est false. Cette propriété est une propriété personnalisée WS-Security et elle est définie dans les liaisons WS-Security dans les emplacements suivants :
  • Propriétés personnalisées sortantes
  • Propriétés personnalisées des messages entrants et sortants

com.ibm.wsspi.wssecurity.token.cert.useRequestorCert

Lorsque cette propriété personnalisée JAX-WS a la valeur true, le certificat du signataire de la demande SOAP est utilisé pour chiffrer la réponse SOAP. Ce processus s'appelle le chiffrement du certificat de signataire.

Cette propriété est définie en tant que propriété personnalisée pour le gestionnaire d'appel du générateur de jeton de chiffrement. Pour définir la propriété dans la console d'administration, cliquez sur nom_liaison > WS-Security > Authentification et protection > nom_jeton > Gestionnaire de rappel. Pour une application utilisant l'API WS-Security WSS, cette propriété peut être également définie dans le gestionnaire d'appel pour le générateur de jeton.

La valeur par défaut de cette propriété est false.

com.ibm.wsspi.wssecurity.token.enableCaptureTokenContext

Cette propriété indique si un consommateur de jeton et/ou un générateur de jeton sont activés pour obtenir leur jeton depuis le conteneur de jeton (tokenHolder) sur le contexte de message.

Cette propriété n'est valide que pour les applications JAX-WS.

Les valeurs admises pour cette propriété sont true et false. La valeur par défaut est false.

Pour définir cette propriété, dans la console d'administration :
  1. Développez Services > Ensembles de règles.
  2. Cliquez sur Liaisons générales de l'ensemble de règles du fournisseur ou Liaisons générales de l'ensemble de règles du client.
  3. Cliquez sur le nom de liaison.
  4. Sous le titre Règles, cliquez sur WS-Security > Authentification et protection > tokenNom > Gestionnaire d'appel.
  5. Ajoutez cette propriété et sa valeur dans les zones Nom et Valeur des propriétés personnalisées.

com.ibm.wsspi.wssecurity.token.enableCaptureTokenInboundMsg

Cette propriété indique si un consommateur de jeton et/ou un générateur de jeton sont activés pour obtenir leur jeton depuis le jeu de jetons de sécurité (SecurityToken) dans le message entrant. Si le message entrant comporte plusieurs jetons qui correspondent au type de valeur du générateur de jeton, le jeton sélectionné sera indéterminé.

Cette propriété n'est valide que pour les applications JAX-WS.

Les valeurs admises pour cette propriété sont true et false. La valeur par défaut est false.

Pour plus d'informations sur la liste de conteneurs de jeton (tokenHolder), voir passThroughToken dans com.ibm.wsspi.wssecurity.core.config.IssuedTokenConfigConstants

Pour définir cette propriété, dans la console d'administration :
  1. Développez Services > Ensembles de règles.
  2. Cliquez sur Liaisons générales de l'ensemble de règles du fournisseur ou Liaisons générales de l'ensemble de règles du client.
  3. Cliquez sur le nom de liaison.
  4. Sous le titre Règles, cliquez sur WS-Security > Authentification et protection > tokenNom > Gestionnaire d'appel.
  5. Ajoutez cette propriété et sa valeur dans les zones Nom et Valeur des propriétés personnalisées.

com.ibm.wsspi.wssecurity.token.forwardable

Lors de la configuration des liaisons de consommation SecurityToken du modèle de programmation JAX-WS, utilisez cette propriété personnalisée que le jeton récepteur soit propagé ou non vers les autres serveurs. Si vous définissez la valeur true pour cette propriété, vous permettez la propagation du jeton aux autres serveurs. Si vous définissez la valeur false, le jeton n'est pas propagé vers les autres serveurs. La valeur par défaut est true et elle n'est pas sensible à la casse.

com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed

Cette propriété a été conçue pour être utilisée dans un scénario de vérification d'identité. Associez-lui la valeur true dans la configuration du gestionnaire d'appel pour le jeton d'identité.

Lorsque cette propriété a pour valeur true dans le générateur UsernameToken, le générateur pour émettre un jeton UsernameToken sans mot de passe. Le reste de la configuration de vérification d'identité ne doit pas utiliser cette propriété car elle ne s'applique qu'au consommateur ou générateur UsernameToken.

Information valeur
Type de données String (chaîne)
Valeurs true, false
Valeut par défaut false

com.ibm.wsspi.wssecurity.token.IDAssertion.useRunAsIdentity

Cette propriété est utilisée par le générateur UsernameToken. Lorsqu'elle a pour valeur true dans le gestionnaire d'appel pour le générateur UsernameToken, le nom principal provenant du sujet runAs courant est utilisé comme nom d'utilisateur dans le jeton UsernameToken. Lorsqu'elle a pour valeur true, la sécurité de base doit être activée et un sujet runAs doit être défini sur l'unité d'exécution courante de l'exécution pour qu'un nom d'utilisateur non nul soit défini dans le jeton UsernameToken.

IDAssertion.useRunAsIdentity=true requiert qu'IDAssertion.isUsed=true soit également défini.

Information valeur
Type de données String (chaîne)
Valeurs true, false
Valeut par défaut false

com.ibm.wsspi.wssecurity.token.username.addNonce et com.ibm.wsspi.wssecurity.token.username.addTimestamp

Lorsque vous configurez un jeton de nom d'utilisateur pour le modèle de programmation JAX-WS, il est fortement recommandé d'ajouter les propriétés personnalisées com.ibm.wsspi.wssecurity.token.username.addNonce et com.ibm.wsspi.wssecurity.token.username.addTimestamp à la configuration du gestionnaire d'appel pour la génération des jetons, afin de disposer d'une protection contre les attaques de type replay. Ces propriétés personnalisées activent et vérifient le nonce et l'horodatage pour l'authentification des messages. La valeur de la propriété doit être true.

com.ibm.wsspi.wssecurity.token.username.emitPasswordDigest

Cette propriété active le module UNTGenerateLoginModule pour le prétraitement du mot de passe et l'émission d'un type de mot de passe #PasswordDigest à la place de #PasswordText pour un élément UsernameToken.

Pour définir cette propriété, dans la console d'administration :
  1. Cliquez sur Développer le service > Ensembles de règles.
  2. Cliquez sur Liaisons générales de l'ensemble de règles du fournisseur ou Liaisons générales de l'ensemble de règles du client.
  3. Cliquez sur le nom de liaison.
  4. Sous le paramètre Règle, cliquez sur WS-Security > Authentification et protection > tokenName > Gestionnaire d'appel > .
  5. Ajoutez cette propriété et cette valeur dans les zones Nom et Valeur des propriétés personnalisées.
Information valeur
Valeurs true, false
Valeut par défaut false

com.ibm.wsspi.wssecurity.token.username.password.forwardable

Lors de la configuration des liaisons de consommation UsernameToken du modèle de programmation JAX-WS, utilisez cette propriété personnalisée pour indiquer si le mot de passe est propagé avec le jeton UsernameToken aux autres serveurs au cours de la propagation UsernameToken. Si vous définissez la valeur true, le mot de passe est conservé pendant la propagation. Si vous définissez la valeur false, le mot de passe doit être supprimé avant la propagation UsernameToken. La valeur par défaut est true et elle n'est pas sensible à la casse.

com.ibm.wsspi.wssecurity.token.username.verifyNonce et com.ibm.wsspi.wssecurity.token.username.verifyTimestamp

Lorsque vous configurez un jeton de nom d'utilisateur pour le modèle de programmation JAX-WS, il est fortement recommandé d'ajouter les propriétés personnalisées com.ibm.wsspi.wssecurity.token.username.verifyNonce et com.ibm.wsspi.wssecurity.token.username.verifyTimestamp à la configuration du gestionnaire d'appel pour le consommateur du jeton, afin de disposer d'une protection contre les attaques de type replay. Ces propriétés personnalisées activent et vérifient le nonce et l'horodatage pour l'authentification des messages. La valeur de la propriété doit être true.

com.ibm.wsspi.wssecurity.token.UsernameToken.digestPasswordCallbackHandler

Cette propriété personnalisée définit une classe de gestionnaire d'appel personnalisée à utiliser sur un consommateur UsernameToken qui traite un type de mot de passe #PasswordDigest. Le gestionnaire d'appel doit être disponible pour l'application et implémenter l'interface javax.security.auth.callback.CallbackHandler. La valeur de l'élément Username dans le consommateur UsernameToken est transmise au gestionnaire d'appel sur un objet javax.security.auth.callback.NameCallback. Le mot de passe qui est associé au nom d'utilisateur est renvoyé sur un objet javax.security.auth.callback.PasswordCallback. Le mot de passe qui est renvoyé est prétraité et comparé à la valeur Password dans le consommateur de jeton de nom d'utilisateur.

Cette propriété est configurée comme propriété personnalisée du gestionnaire d'appel de jeton de nom d'utilisateur. Pour plus d'informations, voir Consommation d'un jeton de nom d'utilisateur à l'aide de PasswordDigest.

com.ibm.wsspi.wssecurity.token.UsernameToken.disableUserRegistryCheck

Cette propriété permet de ne pas vérifier le registre d'utilisateurs pour les jetons d'identité dans l'API Java des services Web XML (JAX-WS). Cela implique que le nom d'utilisateur associé au jeton d'identité dans une vérification d'identité peut passer par UNTConsumeLoginModule sans générer une erreur de registre. Généralement, un jeton d'identité ne doit pas contenir de mot de passe et il peut exister ou non un jeton d'accréditation. Par exemple, il peut existe une confiance aveugle.

Cette propriété n'affecte pas un jeton UsernameToken qui contient un mot de passe.

Si vous devez ignorer la vérification de registre d'un jeton UsernameToken qui contient un mot de passe, reportez-vous à la rubrique "Remplacement de la méthode d'authentification du consommateur de jeton UsernameToken à l'aide d'un module de connexion JAAS empilé". Si une configuration d'appelant est requise pour le jeton UsernameToken, voir la rubrique Définition d'une configuration d'appelant de jeton UsernameToken sans interaction avec le registre.

Lorsque la propriété a la valeur true, le UNTConsumeLoginModule ne valide pas le jeton UsernameToken entrant si et seulement si le jeton UsernameToken ne contient pas de mot de passe.

Les valeurs admises pour cette propriété sont true et false. La valeur par défaut est false.

Pour définir cette propriété, dans la console d'administration :
  1. Développez Services > Ensembles de règles.
  2. Cliquez sur Liaisons générales de l'ensemble de règles du fournisseur ou Liaisons générales de l'ensemble de règles du client.
  3. Cliquez sur le nom de liaison.
  4. Sous le titre Règles, cliquez sur WS-Security > Authentification et protection > tokenNom > Gestionnaire d'appel.
  5. Ajoutez cette propriété et sa valeur dans les zones Nom et Valeur des propriétés personnalisées.

com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck

Cette propriété permet de ne pas vérifier le registre d'utilisateurs pour les jetons UsernameToken dans JAX-RPC. Cela signifie que le nom d'utilisateur sera transmis via UsernameLoginModule sans qu'une erreur de registre ne soit générée.

Les valeurs admises pour cette propriété sont true et false. La valeur par défaut est false.

Cette propriété peut être ajoutée aux propriétés personnalisées du module com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule dans la configuration JAAS wssecurity.UsernameToken ou dans les propriétés personnalisées de la configuration JAAS du consommateur de jeton UsernameToken pour l'application du fournisseur.

Remarque : Pour plus d'informations sur la spécification de cette propriété, voir la rubrique Développement d'applications de services Web pour l'utilisation d'un jeton UsernameToken sans interaction avec le registre.

com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7

La sécurité des services Web prend en charge les jetons LTPA (Version 1) et LTPA Version 2 (LTPA2). Le jeton LTPA2, plus fiable que la version 1, est pris en charge par l'exécution JAX-WS uniquement. Vous pouvez définir l'option d'interopérabilité Appliquer la version du jeton dans le générateur de jeton pour déterminer si un jeton LTPA (Version 1) ou LTPA2 est extrait lorsqu'un message de demande est reçu. Toutefois, si vous voulez forcer l'exécution à utiliser des jetons LTPA (Version 1), vous pouvez affecter à la propriété personnalisée com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 la valeur true

Pour activer cette propriété, procédez comme suit dans la console d'administration :
  1. Recherchez la liaison à configurer.
  2. Cliquez sur la règle WS-Security dans la table des règles.
  3. Cliquez sur le lien Authentification et protection dans la section des liaisons de règles de sécurité.
  4. Cliquez sur le générateur de jeton à configurer.
  5. Définissez com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 sur true dans la section Propriétés personnalisées.
Le tableau suivant indique l'impact des combinaisons de cette propriété personnalisée et de l'option d'interopérabilité Appliquer la version du jeton sur l'exécution.
Tableau 1. Interopérabilité LTPA. Tableau des valeurs de la propriété personnalisée com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 et de l'option d'interopérabilité Appliquer la version du jeton.
Valeur de la propriété personnalisée com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 Valeur Enforce token version Résultat
false Désactivée L'exécution peut utiliser des jetons LTPA (Version 1) et LTPA2.
Non définie ; implique la valeur false Désactivée L'exécution peut utiliser des jetons LTPA (Version 1) et LTPA2.
true Désactivée L'exécution peut utiliser des jetons LTPA (Version 1) uniquement.
true Activé L'exécution peut utiliser des jetons LTPA (Version 1) uniquement.

Pour plus d'informations, voir la documentation sur l'activation ou la désactivation du mode d'interopérabilité de la connexion unique pour jeton LTPA.

com.ibm.wsspi.wssecurity.useMTOMWithCustomComponents

Affectez la valeur true à cette propriété personnalisée JAX-WS si des messages incluant MTOM par erreur contiennent des données binaires codées en base 64 dans le document XML. Si cette propriété a pour valeur true, la phase d'exécution WS-Security ne développe pas et n'organise pas les éléments de document de manière prématurée. Cette propriété est spécifiée en tant que propriété personnalisée sortante ou entrante et sortante dans les liaisons d'ensemble de règles WS-Security du client. La valeur par défaut de la propriété est false.


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_customproperties
Nom du fichier : rwbs_customproperties.html