Connexion unique pour les requêtes HTTP à l'aide de SPNEGO TAI (déconseillé)

WebSphere Application Serverfournit un intercepteur de relations de confiance (TAI) qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les requêtes HTTP pour les ressources sécurisées dans WebSphere Application Server.

Fonction obsolète Fonction obsolète:

Dans WebSphere Application Server version 6.1, un TAI (trust association interceptor) utilisant le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les requêtes HTTP des ressources sécurisées a été ajouté. Dans WebSphere Application Server 7.0, cette fonction est maintenant obsolète. Elle a été remplacée par l'authentification Web SPNEGO, qui fournit un rechargement dynamique des filtres SPNEGO et autorise un repli sur la méthode d'ouverture de session de l'application.

Pour plus d'informations, voir Création d'une connexion unique pour les requêtes HTTP à l'aide de l'authentification Web SPNEGO.

depfeat

SPNEGO est une spécification standard définie dans le document The Simple and Protected GSS-API Negotiation Mechanism (IETF RFC 2478).

Lorsque la sécurité administrative de WebSphere Application Server est activée, l'intercepteur TAI SPNEGO est initialisé. Lors du traitement des demandes HTTP entrantes, l'authentificateur Web interagit avec l'intercepteur TAI SPNEGO qui est défini et activé dans le référentiel de configuration de la sécurité. Un intercepteur est sélectionné et chargé d'authentifier l'accès à la ressource sécurisée identifiée dans la demande HTTP.
Important : L'utilisation des intercepteurs TAI est facultative. Si aucun d'entre eux n'est sélectionné, le processus d'authentification continue normalement.

Les utilisateurs HTTP se connectent et s'authentifient une seule fois sur leur poste de travail et sont ensuite authentifiés (en interne) auprès de WebSphere Application Server. L'intercepteur TAI SPNEGO est invisible pour l'utilisateur final des applications WebSphere. Seul l'administrateur Web chargé de vérifier la configuration, la capacité et la maintenance correctes de l'environnement Web peut le visualiser.

Outre les services d'exécution de sécurité de WebSphere Application Server, certains composants externes sont requis pour activer pleinement le fonctionnement de l'intercepteur TAI SPNEGO. Les composants externes comprennent :
  • [Windows]Microsoft Windows Servers avec le domaine Active Directory et le centre KDC (Key Distribution Center) Kerberos. Pour plus d'informations sur les serveurs Microsoft Windows pris en charge, consultez la configuration système requise pour WebSphere Application Server Version 9.0 sous Windows.
  • Une application client, telle qu'un navigateur ou un client Microsoft .NET, compatible avec le mécanisme d'authentification SPNEGO, tel que défini dans la norme IETF RFC 2478. Microsoft Internet Explorer version 5.5 ou suivante et Mozilla Firefox version 1.0 sont des exemples de navigateurs. Tout navigateur doit être configuré pour utiliser le mécanisme SPNEGO. Pour plus d'informations sur le processus de configuration, voir Configuration du navigateur client pour utiliser l'intercepteur TAI SPNEGO (déprécié).
L'authentification des demandes HTTP est déclenchée par le demandeur (côté client) qui génère un jeton SPNEGO. WebSphere Application Server reçoit ce jeton et valide la relation de confiance entre le demandeur et WebSphere Application Server. L'intercepteur TAI SPNEGO décode et extrait l'identité du demandeur à partir du jeton SPNEGO. L'identité est utilisée pour établir un contexte sécurisé entre le demandeur et le serveur d'applications.
A faire : L'intercepteur TAI SPNEGO est une solution côté serveur dans WebSphere Application Server. Les applications côté client sont chargées de générer le jeton SPNEGO devant être utilisé par l'intercepteur TAI SPNEGO. L'identité du demandeur dans le registre de sécurité de WebSphere Application Server doit être identique à l'identité extraite par SPNEGO TAI. Une correspondance identique se produit lorsque le serveur Microsoft Windows Active Directory est le serveur LDAP (Lightweight Directory Access Protocol) utilisé dans WebSphere Application Server. Un module de connexion personnalisé est disponible en tant que plug-in pour prendre en charge le mappage personnalisé de l'identité à partir d'Active Directory vers le registre de sécurité de WebSphere Application Server. Pour plus de détails sur l'utilisation du module de connexion personnalisé, voir Mappage du nom de principal client Kerberos sur l'ID de registre d'utilisateurs WebSphere pour l'intercepteur TAI SPNEGO (déprécié).
WebSphere Application Server valide l'identité par rapport à son registre de sécurité et, si l'opération aboutit, il produit un jeton de sécurité LTPA (Lightweight Third Party Authentication) et place puis renvoie un cookie à destination du demandeur dans la réponse HTTP. Les demandes HTTP ultérieures émises par le même demandeur concernant l'accès à des ressources sécurisées supplémentaires dans WebSphere Application Server utilisent le jeton de sécurité LTPA précédemment créé pour éviter des demandes de connexion répétées.

Le processus d'établissement de liaison demande-réponse est illustré dans le graphique suivant :

Figure 1. Traitement des demandes HTTP, WebSphere Application Server - SPNEGO TAIWebSphere Application Server valide l'identité par rapport à son registre de sécurité et, si l'opération aboutit, il produit un jeton de sécurité LTPA (Lightweight Third Party Authentication) et place puis renvoie un cookie à destination du demandeur dans la réponse HTTP. Les demandes HTTP ultérieures émises par le même demandeur concernant l'accès à des ressources sécurisées supplémentaires dans WebSphere Application Server utilisent le jeton de sécurité LTPA précédemment créé pour éviter des demandes de connexion répétées.
L'intercepteur TAI SPNEGO peut être activé pour tous les serveurs ou les serveurs WebSphere Application Server sélectionnés dans une configuration de cellule WebSphere Application Server. De plus, le comportement de chaque instance TAI SPNEGO est contrôlé par les propriétés de configuration utilisées pour l'identification, par exemple les critères utilisés pour filtrer les demandes HTTP, telles que le nom d'hôte et le nom de domaine de sécurité utilisés pour construire le nom de principal de service (SPN) Kerberos. Pour plus d'informations sur l'établissement et la définition des propriétés de configuration personnalisées de TAI SPNEGO, voir les rubriques suivantes :

L'administrateur Web a accès aux composants de sécurité TAI SPNEGO suivants et aux données de configuration associées, comme indiqué dans le graphique suivant.

Figure 2. Sécurité TAI SPNEGO et éléments de configurationComposants de sécurité SPNEGO TAI et éléments de configuration : module d'authentification Web, SPNEGO Trust Association Interceptor, fournisseurs de sécurité JGSS et SPNEGO, configuration et fichier de clés de Kerberos, propriétés de configuration SPNEGO TAI et propriétés système de la JVM.
  • Le module d'authentification Web et le mécanisme LTPA (Lightweight Third Party Authentication) constituent la structure d'exécution de plug-in pour les intercepteurs de relations de confiance. Pour plus d'informations sur la configuration du mécanisme LTPA à utiliser avec l'intercepteur TAI SPNEGO, voir Configuration du mécanisme LPTA (Lightweight Third Party Authentication).
  • Le fournisseur JGSS (Java Generic Security Service) est inclus dans le SDK Java ([AIX Solaris HP-UX Linux Windows][z/OS]jre/lib/ibmjgssprovider.jar[IBM i]racine_serveur_app/java/endorsed/ibmjgssprovider.jar) et utilisé pour obtenir le contexte de sécurité Kerberos et les justificatifs utilisés pour l'authentification. IBM® JGSS 1.0 est une structure GSSAPI (Generic Security Service Application Programming Interface) Java associée au mécanisme de sécurité par défaut sous-jacent Kerberos V5. GSSAPI est une interface abstraite standardisée autorisant l'utilisation conjointe de différents mécanismes de sécurité fondés sur la clé privée, la clé publique et d'autres technologies de sécurité. Avec GSSAPI, les applications sécurisées ne sont plus affectées par la complexité et les spécificités des différents mécanismes de sécurité sous-jacents. GSSAPI authentifie l'identité et l'origine des messages et garantit leur intégrité et leur confidentialité. Pour plus d'informations, voir JGSS.
  • Les propriétés de configuration Kerberos (krb5.conf ou krb5.ini ) et les clés de chiffrement Kerberos (stockées dans un fichier de clés Kerberos) sont utilisées pour établir l'authentification mutuelle sécurisée.

    Le gestionnaire de la table de clés Kerberos (Ktab), qui fait partie de JGSS, permet de gérer les noms de principaux et les clés de service stockées dans un fichier de clés Kerberos local. Les paires nom de principal-clé répertoriées dans le fichier de clés Kerberos permettent aux services exécutés sur un hôte de s'authentifier auprès du centre de distribution des clés Kerberos (KDC). Pour qu'un serveur puisse utiliser Kerberos, un fichier de clés Kerberos doit être initialisé sur l'hôte sur lequel s'exécute le serveur.

    La rubrique Utilisation de la commande ktab pour gérer le fichier de clés Kerberos présente les conditions de configuration Kerberos requises pour l'intercepteur TAI SPNEGO et l'utilisation du gestionnaire Ktab.

  • Le fournisseur SPNEGO fournit l'implémentation du mécanisme d'authentification SPNEGO, située dans le fichier [AIX Solaris HP-UX Linux Windows][z/OS]/$WAS_HOME/java/jre/lib/ext/ibmspnego.jar[IBM i]racine_serveur_app/java/ext/ibmspnego.jar.
  • Les propriétés de configuration personnalisées contrôlent le comportement d'exécution de l'intercepteur TAI SPNEGO. Les opérations de configuration sont exécutées par le biais de la console d'administration ou des fonctions de scriptage. Pour plus d'informations sur ces propriétés de configuration personnalisées, voir Configuration des propriétés personnalisées TAI SPNEGO (déprécié).
  • Les propriétés personnalisées de la machine virtuelle Java (JVM) contrôlent les informations de trace de diagnostic pour l'identification des incidents liés au fournisseur de sécurité JGSS et l'utilisation de la fonction de rechargement des propriétés. La rubrique Propriétés de configuration JVM TAI SPNEGO personnalisées (déprécié) décrit ces propriétés personnalisées de la JVM.
Les avantages liés à l'utilisation de l'intercepteur TAI SPNEGO dans WebSphere Application Server sont les suivants :
  • [Windows]Etablissement d'un environnement de connexion unique intégré aux serveurs Microsoft Windows utilisant le domaine Active Directory.
  • Réduction des coûts liés à l'administration d'un grand nombre d'ID et de mots de passe.
  • Etablissement d'une transmission sécurisée et mutuellement authentifiée des justificatifs de sécurité à partir du navigateur Web ou des clients Microsoft .NET.
  • Interopérabilité avec les services Web et les applications Microsoft .NET qui utilisent l'authentification SPNEGO au niveau du transport.
L'utilisation de l'intercepteur TAI SPNEGO dans votre environnement WebSphere Application Server nécessite une planification suivie d'une implémentation. Voir Fonction de connexion unique avec TAI SPNEGO : Liste de contrôle (déprécié) pour la planification de l'intercepteur TAI SPNEGO. L'implémentation de l'utilisation de l'intercepteur TAI SPNEGO s'effectue à plusieurs niveaux de responsabilité :
Utilisateur final du navigateur
L'utilisateur final doit configurer le navigateur Web ou l'application Microsoft .NET pour l'émission de requêtes HTTP traitées par l'intercepteur TAI SPNEGO.
Administrateur Web
L'administrateur Web est chargé de configurer l'intercepteur TAI SPNEGO de WebSphere Application Server pour répondre aux demandes HTTP du client.
Administrateur de WebSphere Application Server
L'administrateur WebSphere Application Server est chargé de configurer WebSphere Application Server et l'intercepteur TAI SPNEGO pour des performances d'installation optimales.
Voir Création d'une connexion unique pour les requêtes HTTP à l'aide de l'intercepteur TAI SPNEGO (déprécié) pour une description des tâches nécessaires à l'utilisation de l'intercepteur TAI SPNEGO et pour savoir comment le responsable effectue ces tâches.

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_SPNEGO_overview
Nom du fichier : csec_SPNEGO_overview.html