Paramètres des jetons de consommateur ou de générateur d'authentification
Les jetons d'authentification sont utilisés afin de prouver ou d'attester une identité. Utilisez la console d'administration pour ajouter des paramètres de jeton d'authentification pour des parties de message lorsque vous modifiez une liaison générale.
Pour configurer les jetons d'authentification, procédez comme suit :
- Pour afficher et sélectionner les liaisons générales définies comme liaisons d'ensemble de règles par défaut de la sécurité globale, cliquez sur . Les liaisons spécifiées sont utilisées à moins qu'elles ne soient remplacées au point d'association au niveau du serveur ou d'un domaine de sécurité.
- Pour accéder aux et configurer les liaisons générales et pour ajouter des paramètres de jeton d'authentification pour des parties de message, cliquez sur .
- Cliquez sur la règle WS-Security dans la table des règles.
- Cliquez sur le lien Authentification et protection dans la section Liaisons de la règle de sécurité du message principal.
- Cliquez sur Nouveau jeton pour créer un générateur ou consommateur de jeton ou cliquez sur un lien de jeton de consommateur ou de générateur existant dans la table Jetons d'authentification.
- Cliquez sur .
- Sélectionnez une application contenant des services Web. Cette application doit contenir un fournisseur de services ou un client de service.
- Cliquez sur le lien Ensembles de règles et liaisons du fournisseur de services ou sur le lien Ensembles de règles et liaisons du client de services dans la section Propriétés des services Web.
- Sélectionnez une liaison. Au préalable, il est nécessaire d'associer un ensemble de règles et d'affecter une liaison spécifique à l'application.
- Cliquez sur la règle WS-Security dans la table des règles.
- Cliquez sur le lien Authentification et protection dans la section Liaisons de la règle de sécurité du message principal.
- Cliquez sur un lien de jeton de consommateur ou de générateur dans la table Jetons de protection.
Cette page de la console d'administration s'applique uniquement aux applications JAX-WS (Java™ API for XML Web Services).
Nom
Indique le nom du jeton configuré. Lorsque vous utilisez des liaisons spécifiques à une application, cette zone ne s'affiche pas.
Type de jeton
Indique le type de jeton en cours de configuration.
Lorsque vous utilisez des liaisons spécifiques à l'application, le type de jeton est extrait à partir du fichier de règles et il est en lecture seule. Lorsque vous utilisez des liaisons générales, sélectionnez un type de jeton dans la liste. Les types de jeton disponibles sont les suivants :
- X509V3 Token V1.1
- X509V3 Token V1.0
- Jeton de nom d'utilisateur V1.1
- Jeton de nom d'utilisateur V1.0
- X509PKCS7 Token V1.1
- X509PKCS7 Token V1.0
- X509PkiPathV1 Token V1.1
- X509PkiPathV1 Token V1.0
- Jeton de propagation LTPA
- X509V1 Token V1.1
- Jeton LTPA
- Jeton LTPA V2.0
- Jeton personnalisé
Si vous sélectionnez le jeton LTPA comme type de jeton pour le générateur de jeton, le mode d'interopérabilité à connexion unique doit être activé. Ce paramètre se trouve dans Sécurité globale sous Sécurité Web et SIP. Si l'indicateur d'interopérabilité n'est pas défini sur activé (true), une erreur se produit lorsque l'application associée à ces liaisons est lancée. Si vous voulez utiliser les jetons LTPA sans vérifier l'état de l'indicateur d'interopérabilité, vous pouvez définir la propriété personnalisée com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 du générateur de jetons. Définissez la propriété en utilisant la console d'administration, comme indiqué dans la rubrique Activation ou désactivation du mode d'interopérabilité de connexion unique pour le jeton LTPA. La propriété ne peut pas être définie en utilisant l'API de sécurité des services Web.
Nom local
Indique le nom local du générateur ou du consommateur du jeton d'authentification. Le contenu de la zone Nom local est fonction du type de jeton affiché. Cette zone permet de modifier uniquement les types de jeton personnalisés.
URI
Indique l'URI (uniform resource identifier) du générateur ou du consommateur du jeton d'authentification. Le contenu de la zone URI est fonction du type de jeton affiché. Cette zone permet de modifier uniquement les types de jeton personnalisés.
Laissez cette zone vide si le type de jeton personnalisé est utilisé pour générer un jeton Kerberos comme défini dans OASIS Web Services Security Specification for Kerberos Token Profile v1.1.
Référence du jeton de sécurité
Indique la référence du jeton de sécurité. La zone de référence du jeton de sécurité s'affiche uniquement pour les jetons d'authentification avec les liaisons spécifiques à une application. Cette zone n'est pas disponible pour les liaisons par défaut.
Connexion JAAS
Indique une liste de connexions JAAS (Java Authentication and Authorization Service) d'applications et de systèmes effectifs pour le domaine à laquelle la liaison est sectorisée.
Si une application est sectorisée à la sécurité globale ou sectorisée à un domaine qui ne personnalise pas ses propres connexions JAAS, une liste de connexions globales s'affiche dans la liste de menu. Cliquez sur Nouvelle connexion d'application pour accéder à la collection de connexions d'application JAAS globale. La liste du menu de connexion JAAS et le comportement du bouton Nouvelle connexion d'application dépendent de la liaison, s'il elle a été créée ou non avec une association. Prenez garde lors du changement des domaines de sécurité car une configuration de sécurité précédemment référencée, comme une connexion JAAS, risque de ne pas être accessible dans un autre domaine de sécurité.
Propriétés personnalisées – Nom
Indique le nom utilisé pour la propriété personnalisée.
Les propriétés personnalisées ne sont pas initialement affichées dans cette colonne. Cliquez sur l'un des boutons suivants pour activer les actions décrites :
Bouton | Action résultante |
---|---|
Nouveau | Crée une entrée de propriété personnalisée. Pour ajouter une propriété personnalisée, entrez le nom et la valeur. |
Editer | Permet de modifier la propriété personnalisée sélectionnée. La sélection de ce bouton fournit des zones d'entrée et crée la liste des valeurs de cellule à modifier. Ce bouton est disponible uniquement lorsqu'au moins une propriété personnalisée a été ajoutée. |
Supprimer | Supprime la propriété personnalisée sélectionnée. |
Propriétés personnalisées – Valeur
Indique la valeur de la propriété personnalisée à utiliser. Utilisez la zone Valeur pour entrer, modifier ou supprimer la valeur d'une propriété personnalisée.
Si le type de jeton personnalisé est utilisé pour générer un jeton Kerberos, spécifiez les propriétés personnalisées suivantes :
Nom de la propriété personnalisée | Value |
---|---|
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName | Indique le nom du service cible. Cette propriété est obligatoire. |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost | Spécifie le nom de l'hôte associé au service cible dans le format
suivant : myhost.mycompany.com. Cette propriété est obligatoire. |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm | Indique le nom du domaine associé au service
cible. Cette propriété est facultative pour un domaine Kerberos unique. Si la propriété targetServiceRealm n'est pas spécifiée, le nom |
com.ibm.wsspi.wssecurity.krbtoken.clientRealm | Indique le nom du super domaine Kerberos associé au client. Cette |
com.ibm.wsspi.wssecurity.krbtoken.loginPrompt | Active la connexion Kerberos lorsque la valeur est True.
La valeur par défaut est False. Cette propriété est obligatoire. |
Pour le générateur de jetons, la combinaison du nom de service cible et du nom d'hôte cible forment un SPN qui correspond au nom principal de service Kerberos cible. Le client Kerberos demande le jeton Kerberos AP_REQ initial pour le SPN.
Si une application crée ou consomme un jeton AP_REQ Kerberos V5 pour chaque message de demande des services Web, affectez à la propriété personnalisée com.ibm.wsspi.wssecurity.kerberos.attach.apreq la valeur true dans le créateur de jeton et les liaisons du consommateur de jeton pour cette application. Pour plus d'informations, reportez-vous à la rubrique des conseils de traitement des incidents de sécurité des Services Web.
Gestionnaire d'appel
Fournit un lien vers la page du gestionnaire d'appel pour vous permettre de les configurer. Les paramètres du gestionnaire d'appel déterminent le mode d'acquisition des jetons de sécurité à partir des en-têtes des messages.
Si vous travaillez avec un jeton de nom d'utilisateur ou un jeton LTPA qui utilise des liaisons par défaut, les noms d'utilisateur et les mots de passe peuvent avoir été fournis à titre d'exemple. Il est nécessaire de mettre à jour les valeurs pour ces type de jeton.