Assertion d'identité dans un message SOAP
L'assertion d'identité est un procédé d'expression de l'identité de l'expéditeur (par exemple, le nom d'utilisateur) dans un message SOAP. Lorsqu'elle est utilisée comme mécanisme d'authentification, l'authentification se fonde uniquement sur le nom de l'identité, et non sur d'autres informations telles qu'un mot de passe ou un certificat.
Important : Il existe une différence importante entre les applications version 5.x, version 6.0.x et versions ultérieures. Les informations de cet article concernent uniquement les applications Version 5.x qui sont utilisées avec WebSphere Application Server version 6.0.x et ultérieure. Elles ne s'appliquent pas aux applications de la version 6.0.x et suivantes.
L'assertion d'identité implique :
- Type d'ID
- L'implémentation de la sécurité des services Web dans WebSphere Application Server peut gérer les trois types d'identité suivants :
- Nom d'utilisateur
- Indique le nom d'utilisateur, comme celui du système d'exploitation local (par exemple, alice). Ce nom est intégré dans l'élément <Username> de l'élément <UsernameToken>.
- DN
- Indique le nom distinctif (DN) de l'utilisateur, tel que "CN=alice, O=IBM, C=FR". Ce nom est intégré dans l'élément <Username> de l'élément <UsernameToken>.
- certificat X.509
- Représente l'identité de l'utilisateur sous la forme d'un certificat X.509 au lieu d'un nom littéral. Ce certificat est intégré dans l'élément <BinarySecurityToken>.
- Gestion de la confiance
- L'hôte intermédiaire placé sur l'itinéraire du message SOAP peut assumer l'identité déclarée de l'expéditeur initial. Deux méthodes (appelées mode de confiance) sont prévues pour cette assertion :
- Authentification de base
- L'intermédiaire ajoute son nom d'utilisateur et son mot de passe au message.
- Signature
- L'intermédiaire signe numériquement l'élément <UsernameToken> de l'expéditeur
d'origine. Remarque : Ce mode de confiance ne prend pas en charge le type d'ID certificat X.509.
- Scénario standard
- L'assertion d'ID est généralement utilisée dans un environnement multitronçon où le message SOAP passe à travers un ou plusieurs hôtes intermédiaires. L'hôte intermédiaire authentifie l'expéditeur d'origine. Le scénario suivant décrit le processus :
- L'expéditeur d'origine envoie à l'hôte intermédiaire un message SOAP intégrant des informations d'authentification. Ces informations d'authentification peuvent être un nom d'utilisateur et un mot de passe accompagnés d'un jeton LTPA.
- L'hôte intermédiaire authentifie l'expéditeur d'origine en fonction des informations d'authentification intégrées.
- L'hôte intermédiaire supprime les informations d'authentification du message SOAP et les remplace par l'élément <UsernameToken>, qui contient un nom d'utilisateur.
- L'hôte intermédiaire assume l'identité de l'expéditeur d'origine en tenant compte du mode de confiance configuré.
- L'hôte intermédiaire envoie le message SOAP mis à jour au destinataire final.
- Le destinataire final vérifie les informations communiquées par l'hôte intermédiaire en fonction du mode de confiance configuré. De plus, l'évaluateur d'ID dignes de confiance est appelé.
- Si la confiance est établie par le destinataire final, ce dernier appelle le service Web sous l'autorisation du nom d'utilisateur (c'est-à-dire, l'expéditeur d'origine) figurant dans le message SOAP.