Configuration du serveur afin qu'il valide les informations d'authentification par assertion d'identité

L'objectif de cette authentification est de vérifier l'identité authentifiée du client d'origine d'un service Web auprès d'un service Web en aval.

Pourquoi et quand exécuter cette tâche

Important : Il existe une différence importante entre les applications version 5.x, version 6 et ultérieure. Les informations dans cette rubrique concernent uniquement les applications Version 5.x utilisées avec WebSphere Application Server Version 6.0.x et versions ultérieures. Les informations ne s'appliquent pas aux applications version 6 et suivantes.

Cette tâche permet de configurer l'authentification par vérification d'identité. Ne tentez pas de configurer l'assertion d'identité à partir d'un client pur.

Pour que le service Web en aval puisse accepter l'identité du client d'origine (nom d'utilisateur uniquement), vous devez fournir des données d'identification BasicAuth sécurisées spéciales que le service Web en aval reconnaît et peut correctement authentifier. Vous devez indiquer l'ID utilisateur des données d'identification BasicAuth spéciales dans un évaluateur d'ID dignes de confiance au sein de la configuration du service Web en aval. Pour plus d'informations sur les évaluateurs d'ID dignes de confiance, voir la rubrique sur l'évaluateur des ID dignes de confiance. Le côté serveur transmet le justificatif BasicAuth spécial à l'évaluateur d'ID dignes de confiance, qui détermine si cet ID est sécurisé en renvoyant la valeur true ou false. Une fois sécurisé, le nom d'utilisateur du client est mappé aux données d'identification utilisées pour l'autorisation d'accès.

Pour valider les informations d'authentification par assertion d'identité, procédez comme suit :

Procédure

  1. Lancez un outil d'assemblage. Pour plus d'informations, voir les informations relatives aux outils d'assemblage.
  2. Passez à la perspective Java™ EE (Java Platform, Enterprise Edition). Cliquez sur Fenêtre > Ouvrir la perspective > J2EE.
  3. Cliquez sur Projets EJB > nom_application > ejbmodule > META-INF.
  4. A l'aide du bouton droit de la souris, cliquez sur le fichier webservices.xml puis sélectionnez Ouvrir avec > Editeur de services Web.
  5. Click the Binding Configurations tab, which is located at the end of the web services editor within the assembly tool.
  6. Développez la section Détails de configuration de liaison de réceptionnaire de requête > Mappage de connexion.
  7. Cliquez sur Editer pour afficher les informations du mappage de connexion. Cliquez sur Ajouter pour ajouter des informations de mappage de connexion. La boîte de dialogue Mappages de connexion s'affiche. Sélectionnez ou entrez les informations suivantes :
    Méthode d'authentification
    Définit le type d'authentification effectué. Sélectionnez IDAssertion pour utiliser l'authentification de base.
    Nom de la configuration
    Indique le nom de configuration de connexion JAAS (Java Authentication and Authorization Service). Pour la méthode d'authentification IDAssertion, entrez system.wssecurity.IDAssertion comme nom de configuration de connexion JAAS (Java Authentication and Authorization Service).
    Utiliser le type de valeur de jeton
    Détermine si vous souhaitez indiquer un type de jeton personnalisé. Pour la méthode d'authentification par défaut, il est inutile de définir cette option.
    Type de valeur de jeton et nom local
    Lorsque vous sélectionnez ID, vous ne pouvez pas modifier les valeurs définies pour l'URI de type de jeton et Nom local du type de jeton. Spécifie les types d'authentification personnalisés. Pour la méthode d'authentification par assertion d'identité, laissez ces zones vides.
    Nom de classe de la fabrique de gestionnaires d'appel
    Crée une implémentation de CallbackHandler JAAS qui prend en charge les rappels suivants :
    • javax.security.auth.callback.NameCallback
    • javax.security.auth.callback.PasswordCallback
    • com.ibm.wsspi.wssecurity.auth.callback.BinaryTokenCallback
    • com.ibm.wsspi.wssecurity.auth.callback.XMLTokenReceiverCallback
    • com.ibm.wsspi.wssecurity.auth.callback.PropertyCallback
    Pour toutes les méthodes d'authentification par défaut (BasicAuth, IDAssertion, et Signature), utilisez l'implémentation par défaut de la fabrique de gestionnaires des rappels. Entrez le nom de classe suivant pour les méthodes d'authentification par défaut y compris IDAssertion :
    com.ibm.wsspi.wssecurity.auth.callback.WSCallbackHandlerFactoryImpl

    Cette implémentation crée le gestionnaire des rappels approprié pour les implémentations par défaut.

    Nom et la valeur de la propriété de la fabrique de gestionnaire des rappels
    Spécifie les propriétés du gestionnaire des rappels pour les implémentations de fabrique de gestionnaires des rappels personnalisées. Il n'est nécessaire d'indiquer des propriétés pour l'implémentation de la fabrique de gestionnaire des rappels par défaut. Pour la méthode d'authentification par assertion d'identité, laissez ces zones vides.
    Nom et valeur de la propriété du mappage de connexion
    Indique les propriétés d'un mappage de connexion personnalisé. Pour les implémentations par défaut telles que IDAssertion, ces zones peuvent rester vides.
  8. Développez la section Evaluateurs d'ID dignes de confiance.
  9. Cliquez sur Editer pour afficher une boîte de dialogue contenant l'ensemble des informations sur les évaluateurs d'ID dignes de confiance. Le tableau ci-après indique la finalité de ces informations.
    Nom de classe
    Correspond à l'implémentation de l'évaluateur d'ID dignes de confiance que vous souhaitez utiliser. Entrez l'implémentation par défaut comme
    com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl
    Si vous souhaitez implémenter votre propre évaluateur d'ID dignes de confiance, vous devez implémenter l'interface com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator.
    Nom de la propriété
    Représente le nom de cette configuration. Entrez BasicIDEvaluator.
    Valeur de la propriété
    La propriété définit les paires nom-valeur qui peuvent être utilisées par l'implémentation de l'évaluateur d'ID dignes de confiance. Pour l'implémentation par défaut, la liste sécurisée est définie ici. Lorsqu'une requête est reçue et que l'ID digne de confiance est vérifié, l'ID utilisateur doit figurer dans cette propriété car il apparaît dans le registre. Indiquez la propriété sous la forme d'une paire nom-valeur, où le nom est trustedId_n. n correspond à un entier à partir de 0 et la valeur correspond à l'ID utilisateur associé à ce nom. Voici un exemple de liste de noms sécurisés comportant deux propriétés.

    Par exemple : trustedId_0 = user1, trustedId_1 = user2. L'exemple précédent signifie que les deux valeurs user1 et user2 sont dignes de confiance. user1 et user2 doivent figurer dans le registre d'utilisateurs configuré

  10. Développez la section Référence d'évaluateur d'ID dignes de confiance.
  11. Cliquez sur Activer pour ajouter une entrée. Le texte que vous entrez pour Référence d'évaluateur d'ID sécurisé doit être identique au nom entré précédemment dans Evaluateur d'ID sécurisé. Vérifiez que les noms correspondent exactement, car la casse est prise en compte. Si une entrée est déjà indiquée, vous pouvez la modifier en cliquant sur Editer.

Que faire ensuite

Vous devez spécifier comment le serveur traite la méthode d'authentification par assertion d'identité. Si vous n'avez pas indiqué ces informations, voir Configuration du serveur pour qu'il traite les informations d'authentification par assertion d'identité.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvridassertver
Nom du fichier : twbs_confsvridassertver.html