Mémoire cache du client de conversation sécurisée et configuration du service d'accréditation

Pour les clients répartis ou locaux, la WebSphere Application Server mémoire cache de client de conversation sécurisée stocke les jetons sur le client.

WebSphere Application Server prend en charge la mise en cache du jeton de contexte de sécurité pour le client réparti et le client local. Si le jeton de contexte de sécurité est réparti, un client du même domaine de réplication utilise le même jeton de contexte de sécurité. La mise en cache répartie prend également en charge le déchargement sur disque pour enregistrer le jeton de contexte de sécurité sur disque à des fins de reprise. Si le client fait partie d'une configuration de cluster, quand il exécute des applications utilisant la conversation sécurisée, il peut utiliser le mécanisme de cache réparti pour répliquer les données du jeton entre les membres du cluster.

Pour utiliser la console d'administration afin de modifier les paramètres en cache, cliquez sur Services > Mémoire cache de sécurité.

Vous pouvez configurer les paramètres de la mémoire cache, comme suit.

Le client WS-SecureConversation rejette un jeton de contexte de sécurité qui est émis à une heure ultérieure. Si vous ne pouvez pas synchroniser l'horloge du poste client avec le poste de service, vous pouvez configurer le décalage d'horloge pour éviter le rejet d'un jeton valide. Le décalage d'horloge par défaut est de 3 minutes. Pour modifier le paramètre de décalage d'horloge par défaut, ajoutez la propriété personnalisée suivante aux minutes désirées :
clockSkewToleranceInMinutes

Vous avez également la possibilité d'utiliser les commandes wsadmin pour gérer les configurations de cache du client de conversation sécurisée.

Client léger

Pour un client d'application de service Web exécuté hors de WebSphere Application Server, le jeton de contexte de sécurité n'est mis en cache que dans le processus Java™ local. Les propriétés système suivantes permettent de remplacer le paramètre de cache par défaut sur le client léger :

com.ibm.wsspi.wssecurity.SC.cache.cushion
Indique le temps de renouvellement, en minutes, d'un jeton de contexte de sécurité à utiliser avec WS-SecureConversation côté client, de sorte que le jeton de contexte de sécurité ait suffisamment de temps pour établir l'appel en aval. La valeur par défaut est de 10 minutes, et la valeur minimale de 3 minutes.
com.ibm.wsspi.wssecurity.SC.token.clockSkewTolerance
Indique la différence horaire admissible entre deux postes. La valeur par défaut est de 3 minutes.

Paramètres de WS-Reliable Messaging (WSRM)

Quand les applications de WebSphere Application Server utilisent des règles telles que WS-I RSP avec WS-Reliable Messaging en mode géré persistant, modifiez les valeurs de la configuration des accréditations et de la mémoire cache.

Réglez la valeur de temps de la configuration du cache sur 120 minutes.
  1. Dans la console d'administration WebSphere Application Server, cliquez sur Services > Cache de sécurité.
  2. Modifiez la valeur du champ Jeton de temps en cache après le délai d'expiration. Remplacez 10 par 120.
  3. Cliquez sur Appliquer, puis sur Sauvegarder.
L'augmentation de cette valeur signifie que le jeton reste en mémoire cache plus longtemps après l'expiration du jeton, afin que celui-ci puisse être renouvelé. Le processus de WS-Reliable Messaging associe le message CreateSequence au jeton du contexte de sécurité. Il est donc important de gérer le même contexte de sécurité pendant toute la durée de la séquence Reliable Messaging.

Activez la mise en cache répartie avec l'option par défaut, la mise à jour synchrone des membres du cluster, afin de prendre en charge les clients répartis. Pour plus d'informations, reportez-vous à la rubrique Activation du cache distribué à l'aide de la mise à jour synchrone et de la récupération des jetons.

Autres modifications recommandées

D'autres modification de configuration importantes sont recommandées.
  • Modifiez la durée de vie du jeton du contexte de sécurité ; remplacez la valeur par défaut 120 minutes par 600 minutes.
  • Modifiez la valeur du renouvellement après expiration ; remplacez false par true.
  • Modifiez les paramètres des fournisseurs de jetons comme suit :
    1. Dans la console d'administration, cliquez sur Services > Service d'accréditation > Fournisseurs de jetons.
    2. Cliquez sur Jeton de contexte de sécurité.
    3. Dans le champ Expiration des jetons, remplacez 120 par 600.
    4. Cochez la case de l'option Autoriser le renouvellement après expiration.
    5. Cliquez sur Appliquer, puis sur Sauvegarder.

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssecureconvclientcache
Nom du fichier : cwbs_wssecureconvclientcache.html