Ensembles de règles par défaut et modèles de liaison pour SAML

Les ensembles de règles et les liaisons générales spécifiques à SAML sont installés en même temps que la fonction SAML. Ces ensembles de règles et modèles de liaison générales servent à demander des jetons SAML à un service STS externe et à les propager vers des services Web en aval.

Ensembles de règles par défaut SAML

WebSphere Application Server avec SAML contient huit ensembles de règles par défaut et plusieurs modèles de liaison générale conformes au standard OASIS pour les profils de jeton SAML dans le cadre des services Web (Web Services Security : SAML Token Profile 1.1). Vous devez importer les ensembles de règles SAML par défaut avant de pouvoir les utiliser. Ces ensembles de règles et les modèles de liaison peuvent être connectés aux services Web et utilisés sans qu'il soit nécessaire d'écrire du code supplémentaire. Il est cependant nécessaire de configurer quelques paramètres dans les documents de modèle de liaison pour qu'ils soient utilisables. Ces paramètres comprennent l'URL du service de jeton de sécurité (STS) externe et le certificat X.509 de l'émetteur du jeton SAML. Pour plus d'informations, reportez-vous à la section relative à la configuration des clients et des fournisseurs pour le jeton SAML bearer (porteur) et pour le jeton SAML holder-of-key (HoK - détenteur de clé) à clé symétrique.

L'installation de la fonction SAML inclut l'ensemble de règles par défaut Username WSHTTPS, qui envoie une demande de jeton à un service STS externe. La fonction d'un service Web de jeton de sécurité (service STS) est bien précise. Vous pouvez utiliser n'importe lequel des ensembles de règles par défaut WebSphere Application Server pour communiquer avec STS. Néanmoins, l'ensemble de règles par défaut Username WSHTTPS envoie un jeton du type nom d'utilisateur dans le message SOAP, et protège le message à l'aide de la couche SSL (Secure Sockets Layer). Cet ensemble de règles n'est utilisable que si le nom d'utilisateur et le mot de passe ont été configurés dans les documents de liaison. Des instructions détaillées sont disponibles dans la section relative à la configuration des ensembles de règles et des liaisons pour communiquer avec le STS.

L'installation de la fonction SAML comprend quatre ensembles de règles par défaut SAML 1.1 et quatre ensembles de règles par défaut SAML 2.0. Comme l'indique la rubrique Définition de la configuration SAML, ces ensembles de règles doivent être ajoutés à un profil existant, ou à un nouveau profil créé après l'installation de WebSphere Application Server, pour pouvoir être utilisés. Les ensembles de règles SAML fournis sont les suivants :
  • SAML11 Bearer WSHTTPS Default : envoie un jeton SAML à l'aide de la méthode de confirmation bearer dans les messages SOAP et protège les messages SOAP à l'aide de SSL
  • SAML11 Bearer WSSecurity Default : envoie un jeton SAML à l'aide de la méthode de confirmation bearer dans les messages SOAP et protège les messages SOAP à l'aide de la signature et du chiffrement X.509
  • SAML11 HoK Public WSSecurity Default : envoie un jeton SAML à l'aide de la méthode de confirmation holder-of-key (détenteur de clé) avec un certificat client X.509 dans le jeton SAML et protège les messages SOAP à l'aide du certificat client du jeton SAML et du certificat X.509 du destinataire
  • SAML11 HoK Symmetric WSSecurity Default : envoie un jeton SAML à l'aide de la méthode de confirmation holder-of-key avec une clé partagée chiffrée par la clé publique du destinataire et protège les messages SOAP en utilisant la clé partagée pour la signature et le chiffrement
  • SAML20 Bearer WSHTTPS Default
  • SAML20 Bearer WSSecurity Default
  • SAML20 HoK Public WSSecurity Default
  • SAML20 HoK Symmetric WSSecurity Default
La seule différence entre les ensembles de règles SAML 1.1 et SAML 2.0 est l'espace de nom du jeton SAML.

Modèles de liaison SAML

Deux paires de modèle de liaison sont fournis pour la prise en charge du jeton SAML bearer et du jeton holder-of-key utilisant une clé symétrique.
  • SAML Bearer Client Sample
  • SAML Bearer Provider Sample
  • SAML HoK Symmetric Client Sample
  • SAML HoK Symmetric Provider Sample

Le modèle SAML Bearer Client et le modèle SAML Bearer Provider sont utilisables avec tous les ensembles de règles de jeton SAML bearer par défaut. Vous pouvez utiliser les modèles SAML HoK Symmetric Client et SAML HoK Symmetric Provider avec l'un des ensembles de règles par défaut SAML HoK à clé symétrique : SAML11 HoK Symmetric WSSecurity Default ou SAML20 HoK Symmetric WSSecurity Default.

Liaisons d'accréditation client

WebSphere Application Server avec SAML prend en charge à la fois les liaisons spécifiques aux applications et les liaisons générales pour les ensembles de règles d'accréditation client. En outre, les liaisons par défaut sont prises en charge si l'application fonctionne dans un environnement serveur. Les liaisons par défaut ne sont pas prises en charge dans l'environnement client léger.

Vous pouvez créer des liaisons propres à l'application uniquement à un point d'attachement de l'ensemble de règles. Ces liaisons sont spécifiques aux caractéristiques de la règle par lesquelles elles sont définies. Les liaisons spécifiques aux applications peuvent fournir une configuration pour les exigences des règles avancées, telles que les signatures multiples ; toutefois, ces liaisons sont uniquement réutilisables au sein d'une application. En outre, les liaisons spécifiques aux applications sont difficilement réutilisables dans les ensembles de règles. Lorsque vous créez une liaison spécifique à une application pour un ensemble de règles, elle est d'abord dans un état non configuré. Vous devez ajouter toutes les règles, par exemple WS-Security ou HTTP transport, destinées à se substituer à une liaison par défaut, et configurer entièrement les liaisons pour chaque règle ajoutée. Pour plus d'informations sur la configuration des liaisons d'accréditation client pour SAML, référez-vous à la section relative à la configuration des ensembles de règles et des liaisons pour communiquer avec le STS.

Les liaisons générales peuvent être configurées pour une utilisation dans différents ensembles de règles et sont réutilisables dans différentes applications et pour les points d'attachement des services d'accréditation. Bien que les liaisons générales soient réutilisables, elles ne peuvent pas fournir de configuration pour les exigences de règles avancées, telles que les signatures multiples. Il existe deux types de liaisons générales : les liaisons générales de l'ensemble de règles du fournisseur et les liaisons générales de l'ensemble des règles du client.

Si vous ne spécifiez pas la propriété wstrustClientBindingScope pour la liaison du client d'accréditation, le système commence par chercher dans l'application une liaison spécifique portant le nom que vous avez indiqué. S'il trouve une liaison, celle-ci est utilisée pour la demande du client d'accréditation. Si le système ne trouve pas de liaison spécifique à l'application, il cherche une liaison générale du même nom. S'il en trouve une, celle-ci est utilisée pour la demande du client d'accréditation. Si aucune liaison portant le nom indiqué n'est trouvée, les liaisons par défaut de l'environnement serveur sont utilisées. Les liaisons par défaut ne sont utilisées que lorsque l'application fonctionne dans l'environnement serveur. Si l'application fonctionne dans un environnement client léger, et si aucune propriété wstrustClientBindingScope, ni aucune liaison spécifique à une application ou générale n'est indiquée, aucune liaison n'est utilisée car les liaisons par défaut ne sont pas prises en charge par le client léger.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_samldefaultpsbindings
Nom du fichier : cwbs_samldefaultpsbindings.html