Sécurisation des demandes effectuées auprès du service d'accréditation à l'aide d'ensembles de règles système
WebSphere Application Server assure une protection au niveau des messages pour son service de jeton de sécurité, également appelé service d'accréditation WebSphere Application Server. Pour le service d'accréditation, vous devez utiliser une classe spéciale d'ensembles de règles, ensembles de règles système.
Avant de commencer
- La console d'administration permet de définir et d'associer un ensemble de règles système et une liaison à une opération de service d'accréditation qui est associée à un noeud final.
- Utilisez l'outil wsadmin, qui prend en charge les langages de scriptage Jython et Jacl pour configurer les ensembles de règles système pour le service d'accréditation. Vous pouvez gérer les règles pour la qualité de service (QoS) en créant des ensembles de règles et en gérant des règles associées.
Pourquoi et quand exécuter cette tâche
Effectuez les opérations suivantes. L'ordre des tâches n'a aucune importance mais toutes les opérations de niveau élevé requises doivent être effectuées pour mener à terme la configuration de la sécurisation.
Procédure
- Définissez un nouvel ensemble de règles système ou gérez des ensembles
de règles système existants. Pour gérer des ensembles de règles système, vous pouvez effectuer les tâches
suivantes :
- Définissez l'ensemble de règles système et la liaison. Le système de règles système peut être un nouvel ensemble ou un ensemble existant. Si vous créez un ensemble de règles système, vous devez définir et configurer les types de règle. Une configuration de liaison par défaut est associée à chaque type de règle.
- Modifiez
l'ensemble de règles système, lorsque cela est nécessaire.
Voici d'autres tâches facultatives liées à la règle que vous pouvez effectuer :
- Ajout, édition ou retrait d'associations d'ensemble de règles.
- Edition, activation, désactivation ou retrait de types de règle
- Création d'un ensemble de règles système en sélectionnant et en copiant un ensemble de règles système. Lors de la copie d'un ensemble de règles système existante, vous pouvez également définir de déplacer les pièces jointes existantes vers ce nouvel ensemble de règles système.
- Supprimez les ensembles de règles système. Il n'est pas possible de supprimer les ensembles de règles système fournis par défaut par WebSphere Application Server. .
- Archivez un ensemble de règles système en sélectionnant et en exportant un ensemble de règles système. Lors de l'exportation d'un ensemble de règles existant, vous créez un fichier d'archive .zip. Le fichier .zip permettant d'exporter l'ensemble de règles est mis à disposition pour téléchargement. Par exemple, si vous avez un ensemble de règles nommé ABC_ps et que vous souhaitez exporter et déplacer le fichier d'archive de ServerA vers ServerB, utilisez tout d'abord la fonction export pour créer le fichier .zip. Transférez ensuite manuellement le fichier d'archive vers ServerB.
- Créez et gérez des pièces jointes explicites. Vous pouvez effectuer les tâches suivantes relatives aux pièces jointes de service d'accréditation :
- Associez l'ensemble de règles système et attribuez une liaison à un noeud final. Pour un noeud final, vous pouvez créer des pièces jointes explicites pour les quatre opérations de service d'accréditation effectuées dans les liaisons et les ensembles de règles Valeurs par défaut du service d'accréditation respectifs. Une fois que vous avez créé ces pièces jointes d'origine, vous pouvez afficher puis modifier les configurations de liaison et d'ensemble de règles.
- Modifiez
les configuration de liaison et de pièce de jointe d'ensemble de règles, lorsque
cela est nécessaire.. Le système de règles système peut être un nouvel ensemble ou un ensemble existant. Si vous créez un ensemble de règles système, vous devez définir et
configurer les types de règle. Une configuration de liaison par défaut est associée
à chaque type de règle.
L'ensemble de règles qui est associé pour l'émission ou le renouvellement doit correspondre à l'ensemble de règles d'amorçage du noeud final et client et l'ensemble de règles système qui est associé pour la validation et l'annulation doit correspondre à l'ensemble de règles de l'application de noeud final et client. L'ensemble de règles d'amorçage du service de noeud final est requis uniquement si le service de noeud final effectue des demandes d'émission et de renouvellement auprès du service d'accréditation.
Voici d''autres tâches facultatives liées aux pièces jointes que vous pouvez effectuer :
- Changement des configurations de liaison et des ensemble de règles système.
- Création des liaisons et des ensembles de règles système personnalisés.
- Association des quatre opérations de service d'accréditation par défaut à une liaison et à un ensemble de règles système.
- Connexion à une liaison et à un ensemble de règles par défaut des quatre opérations de service d'accréditation associées à un noeud final spécifique.
- Spécification du fait que les opérations de service d'accréditation sélectionnées d'un noeud final héritent de la liaison et de l'ensemble de règles de service d'accréditation par défaut.
- Attribution de la liaison par défaut ou d'une configuration de liaison personnalisée à l'association d'ensemble de règles sélectionnée.
- Mise à jour de la configuration d'exécution du service d'accréditation.
- Gérez le fournisseur de jeton de contexte de sécurité fourni par le service
d'accréditation. Vous pouvez effectuer les tâches du fournisseur de jeton de service
d'accréditation suivantes :
- Modifiez la configuration
du fournisseur de jeton de contexte de sécurité, lorsque cela est nécessaire..
Voici d'autres tâches facultatives liées au fournisseur de jeton que vous pouvez effectuer :
- Mise à jour de la configuration d'exécution du service d'accréditation pour toute modification de configuration du fournisseur de jeton.
- Modifiez la configuration
du fournisseur de jeton de contexte de sécurité, lorsque cela est nécessaire..
- Gérez le fournisseur de jeton par défaut de service d'accréditation et des noeuds
finaux ayant un jeton attribué explicitement (et non hérité de la valeur par défaut). Les cibles sont des noeuds finaux auxquels un fournisseur de jeton spécifique a été attribué. Vous pouvez
effectuer les tâches cible du service d'accréditation suivantes :
- Créez une cible de service d'accréditation en attribuant explicitement une URL de noeud final de service au fournisseur de jeton par défaut.. Le fait d'effectuer cette tâche crée une attribution explicite au fournisseur de jeton de service d'accréditation par défaut, le jeton de contexte de sécurité. Tous les autres noeuds finaux héritent du fournisseur de jeton par défaut de service d'accréditation.
- Configurez une cible. WebSphere Application Server définit un fournisseur de jetons par défaut : le jeton de contexte de sécurité. Voici d'autres tâches que vous pouvez effectuer
pour les cibles existantes :
- Modification d'un ou de plusieurs noeuds finaux qui ont un fournisseur de jeton de contexte de sécurité explicitement attribué.
- Modification du fournisseur de jeton pour un noeud final, il n'est plus hérité mais explicitement attribué. C'est pourquoi, le fournisseur de jeton du noeud final ne change pas lorsque le fournisseur de jeton de service d'accréditation par défaut change.
- Modification du fournisseur de jeton pour un noeud final, il n'est plus explicitement attribué mais hérité. C'est pourquoi, le fournisseur de jeton par défaut du noeud final est le fournisseur de jeton de service d'accréditation par défaut et il est modifié lors du changement de la valeur par défaut.
- Mise à jour de la configuration d'exécution du service d'accréditation.
- Configurez la mémoire cache de sécurité . Vous pouvez modifier le comportement de la mise en cache de sécurité côté client.
- Mettez à jour la configuration d'exécution du service d'accréditation. Vous devez mettre à jour la configuration d'exécution lorsqu'un des éléments
liés à la sécurisation suivants est créé ou modifié :
- Pièces jointes de service d'accréditation
- Fournisseurs de jeton
- Cibles
Résultats
Une fois que les configurations sont terminées et que la configuration d'environnement du service d'accréditation a été mise à jour, vous avez utilisé la console d'administration pour sécuriser des demandes auprès du service d'accréditation en utilisant des ensembles de règles système.
Sous-rubriques
Activation de la conversation sécurisée
Utilisation de la conversation sécurisée pour sécuriser les messages des applications de services Web.Service d'accréditation
Le service de jeton de sécurité fourni par WebSphere Application Server s'appelle le service d'accréditation. Le service d'accréditation WebSphere Application Server utilise les mécanismes de messagerie sécurisés de Web Services Trust (WS-Trust) pour définir d'autres extensions pour l'émission, l'échange et la validation des jetons de sécurité.Configuration d'ensembles de règles système à l'aide de la console d'administration
En définissant un ensemble de règles personnalisé ou des assertions sur le mode de définition des services, vous pouvez configurer la sécurité des Services Web. Vous pouvez utiliser la console d'administration pour gérer des ensembles de règles personnalisés.Configuration d'associations pour le service d'accréditation à l'aide de la console d'administration
Vous pouvez associer les opérations du service d'accréditation pour un noeud final système à un ensemble de règles et une liaison. Chaque nouveau noeud final indiqué au départ compte quatre opérations : émission, renouvellement, annulation et validation. Par défaut, tous les noeuds finaux héritent l'ensemble de règles et la liaison associés à l'opération correspondante du service d'accréditation sous Valeurs par défaut du service d'accréditation. Vous pouvez toutefois associer de façon explicite un autre ensemble de règles.Configuration du fournisseur de jetons de contexte de sécurité pour le service d'accréditation à l'aide de la console d'administration
Configurez WebSphere Application Server du service d'accréditation pour émettre un jeton de sécurité spécifique au demandeur pour la communication avec un noeud final. Utilisez la console d'administration pour configurer le fournisseur de jetons de contexte de sécurité contenu dans le service d'accréditation.Configuration des cibles de noeud final de service d'accréditation à l'aide de la console d'administration
Le service d'accréditation gère les jetons pour les noeuds finaux de service. Un fournisseur de jetons est associé de façon implicite ou explicite à chaque noeud final de service. Un jeton spécifique peut être affecté de façon explicite pour être émis lorsque l'accès à un noeud final est demandé. Sinon, le jeton Valeur par défaut du service d'accréditation est émis.Mise à jour de la configuration du module d'exécution de sécurité des services Web
Mettez à jour la configuration d'exécution de la sécurité des services Web avec tous les changements de données effectués pour les fournisseurs de jetons, les associations du service d'accréditation et les cibles.Configuration de la mémoire cache répartie de sécurité des services Web à l'aide de la console d'administration
Vous pouvez configurer le module d'exécution de la sécurité des services Web pour qu'il utilise la mémoire cache répartie de sécurité pour stocker les jetons de sécurité.Activation de la conversation sécurisée
Utilisation de la conversation sécurisée pour sécuriser les messages des applications de services Web.Service d'accréditation
Le service de jeton de sécurité fourni par WebSphere Application Server s'appelle le service d'accréditation. Le service d'accréditation WebSphere Application Server utilise les mécanismes de messagerie sécurisés de Web Services Trust (WS-Trust) pour définir d'autres extensions pour l'émission, l'échange et la validation des jetons de sécurité.Configuration d'ensembles de règles système à l'aide de la console d'administration
En définissant un ensemble de règles personnalisé ou des assertions sur le mode de définition des services, vous pouvez configurer la sécurité des Services Web. Vous pouvez utiliser la console d'administration pour gérer des ensembles de règles personnalisés.Configuration d'associations pour le service d'accréditation à l'aide de la console d'administration
Vous pouvez associer les opérations du service d'accréditation pour un noeud final système à un ensemble de règles et une liaison. Chaque nouveau noeud final indiqué au départ compte quatre opérations : émission, renouvellement, annulation et validation. Par défaut, tous les noeuds finaux héritent l'ensemble de règles et la liaison associés à l'opération correspondante du service d'accréditation sous Valeurs par défaut du service d'accréditation. Vous pouvez toutefois associer de façon explicite un autre ensemble de règles.Configuration du fournisseur de jetons de contexte de sécurité pour le service d'accréditation à l'aide de la console d'administration
Configurez WebSphere Application Server du service d'accréditation pour émettre un jeton de sécurité spécifique au demandeur pour la communication avec un noeud final. Utilisez la console d'administration pour configurer le fournisseur de jetons de contexte de sécurité contenu dans le service d'accréditation.Configuration des cibles de noeud final de service d'accréditation à l'aide de la console d'administration
Le service d'accréditation gère les jetons pour les noeuds finaux de service. Un fournisseur de jetons est associé de façon implicite ou explicite à chaque noeud final de service. Un jeton spécifique peut être affecté de façon explicite pour être émis lorsque l'accès à un noeud final est demandé. Sinon, le jeton Valeur par défaut du service d'accréditation est émis.Mise à jour de la configuration du module d'exécution de sécurité des services Web
Mettez à jour la configuration d'exécution de la sécurité des services Web avec tous les changements de données effectués pour les fournisseurs de jetons, les associations du service d'accréditation et les cibles.Configuration de la mémoire cache répartie de sécurité des services Web à l'aide de la console d'administration
Vous pouvez configurer le module d'exécution de la sécurité des services Web pour qu'il utilise la mémoire cache répartie de sécurité pour stocker les jetons de sécurité.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_trustwss
Nom du fichier : twbs_trustwss.html