L'authentification par signature correspond à un certificat X.509 que le client envoie au serveur. Le certificat est utilisé pour l'authentification auprès du registre d'utilisateurs configuré sur le serveur.
Le client collecte les informations d'authentification pour l'authentification par signature.
Pourquoi et quand exécuter cette tâche
Important : Il existe une grande différence entre les applications version 5.x, version 6.0.x et ultérieure.
Les informations concernent uniquement les applications
Version 5.x utilisées avec WebSphere Application
Server Version 6.0.x et versions ultérieures. Les informations ne s'appliquent pas aux applications version 6.0.x et versions ultérieures.
Vous pouvez configurer l'authentification par signature.
L'authentification par signature correspond à l'utilisation d'un certificat X.509 pour se connecter au serveur cible.
Si vous souhaitez indiquer comment le client doit collecter les informations relatives à l'authentification par signature, procédez comme suit :
Procédure
- Lancez un outil d'assemblage. Pour plus d'informations, consultez les informations relatives aux outils d'assemblage.
- Passez à la perspective Java™ EE (Java Platform, Enterprise Edition). Cliquez sur .
- Cliquez sur .
- A l'aide du bouton droit de la souris, cliquez sur le fichier
application-client.xml et sélectionnez .
- Click the WS Binding tab, which is located at the end of the deployment descriptor editor
within the assembly tool.
- Développez et cliquez sur Editer pour modifier
le nom de la clé de signature et le localisateur associé. Pour créer des informations de signature, cliquez sur Activer. Le certificat envoyé au serveur lors de la connexion correspond à celui qui a été configuré dans la section Informations de signature. Consultez les informations du localisateur de clé pour comprendre comment le nom de la clé de signature est mappé vers une clé de l'entrée du localisateur de clé.
La liste suivante décrit la finalité de ces informations. Certaines de ces définitions reposent sur la spécification Signature XML, disponible sur le site
http://www.w3.org/TR/xmldsig-core- Algorithme de méthode de canonisation
- Canonise l'élément <SignedInfo> avant qu'il ne soit traité lors de
l'opération de signature.
- Algorithme de méthode Digest
- Représente l'algorithme appliqué aux données après des transformations
éventuelles pour générer l'élément <DigestValue>.
La signature de l'élément
<DigestValue> lie le contenu de la ressource à la clé du signataire. L'algorithme sélectionné pour la configuration de l'expéditeur de la requête client doit correspondre à l'algorithme choisi dans la configuration du destinataire de la requête serveur.
- Algorithme de méthode de signature
- Représente l'algorithme servant à convertir la valeur de l'élément
<SignedInfo> canonisé en <SignatureValue>. L'algorithme sélectionné pour la configuration de l'expéditeur de la requête client doit correspondre à l'algorithme choisi dans la configuration du destinataire de la requête serveur.
- le nom de la clé de signature,
- Représente la clé associée au localisateur de clé de signature. La
clé fait référence à un alias de la clé, qui est utilisé pour signer la requête.
- Releveur de coordonnées de clé de signature
- Représente une référence à une implémentation de localisateur de clés.
- Développez la section .
- Cliquez sur Editer pour afficher les informations de liaison de connexion. Sélectionnez ou entrez les informations suivantes :
- Méthode d'authentification
- Définit le type d'authentification effectué. Sélectionnez Signature pour utiliser l'authentification à l'aide d'une signature.
- Type de valeur de jeton et Nom local
- Lorsque vous sélectionnez Signature, vous ne pouvez pas modifier les valeurs
de l'URI et du nom local de la valeur du type de jeton. Spécifie les types d'authentification personnalisés. Pour l'authentification de la signature, laissez ces zones vides.
- Gestionnaire d'appel
- Définit l'implémentation du gestionnaire d'appel JAAS (Java Authentication and Authorization Server)
pour la collecte des informations sur les signatures. Entrez le gestionnaire d'appel suivant pour l'authentification de la signature : com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
Ce gestionnaire d'appel est utilisé car la méthode de la signature ne requiert pas l'interaction de l'utilisateur.
- ID utilisateur et mot de passe BasicAuth
- Laissez les zones BasicAuth vides lorsque l'authentification par signature est utilisée.
- Nom et valeur de propriété
- Cette zone permet d'entrer les propriétés et les paires nom-valeur que les gestionnaires d'appel doivent utiliser. Si vous avez décidé d'effectuer une authentification à l'aide d'une signature, n'entrez aucune information.
Que faire ensuite
Autres entrées de personnalisation : La section Détails de
liaison de nom qualifié de port comporte une entrée d'authentification de base. Cette entrée est utilisée pour l'authentification du transport HTTP qui peut être nécessaire si le servlet du routeur est protégé.
Les informations indiquées dans la section Authentification par signature de la sécurité des services Web ont priorité sur les informations d'authentification de base indiquées dans la section Détails de liaison de nom qualifié de port pour l'autorisation du service Web.
Pour utiliser la méthode d'authentification par signature, vous devez indiquer cette
méthode dans la section Configuration de connexion d'un outil d'assemblage.