Connexion unique pour les requêtes HTTP à l'aide de SPNEGO TAI (déconseillé)
WebSphere Application Serverfournit un intercepteur de relations de confiance (TAI) qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les requêtes HTTP pour les ressources sécurisées dans WebSphere Application Server.

Dans WebSphere Application Server version 6.1, un TAI (trust association interceptor) utilisant le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les requêtes HTTP des ressources sécurisées a été ajouté. Dans WebSphere Application Server 7.0, cette fonction est maintenant obsolète. Elle a été remplacée par l'authentification Web SPNEGO, qui fournit un rechargement dynamique des filtres SPNEGO et autorise un repli sur la méthode d'ouverture de session de l'application.
Pour plus d'informations, voir Création d'une connexion unique pour les requêtes HTTP à l'aide de l'authentification Web SPNEGO.
depfeatSPNEGO est une spécification standard définie dans le document The Simple and Protected GSS-API Negotiation Mechanism (IETF RFC 2478).
Les utilisateurs HTTP se connectent et s'authentifient une seule fois sur leur poste de travail et sont ensuite authentifiés (en interne) auprès de WebSphere Application Server. L'intercepteur TAI SPNEGO est invisible pour l'utilisateur final des applications WebSphere. Seul l'administrateur Web chargé de vérifier la configuration, la capacité et la maintenance correctes de l'environnement Web peut le visualiser.
Microsoft Windows Servers avec le domaine Active Directory et le centre KDC (Key Distribution Center) Kerberos. Pour plus d'informations sur les serveurs Microsoft Windows pris en charge, consultez la configuration système requise pour WebSphere Application Server Version 9.0 sous Windows.
- Une application client, telle qu'un navigateur ou un client Microsoft .NET, compatible avec le mécanisme d'authentification SPNEGO, tel que défini dans la norme IETF RFC 2478. Microsoft Internet Explorer version 5.5 ou suivante et Mozilla Firefox version 1.0 sont des exemples de navigateurs. Tout navigateur doit être configuré pour utiliser le mécanisme SPNEGO. Pour plus d'informations sur le processus de configuration, voir Configuration du navigateur client pour utiliser l'intercepteur TAI SPNEGO (déprécié).
Le processus d'établissement de liaison demande-réponse est illustré dans le graphique suivant :

- Configuration des propriétés de configuration Kerberos. Voir Fichier de configuration Kerberos.
- Définition ou réglage des propriétés personnalisées de TAI SPNEGO. Voir Configuration des propriétés personnalisées TAI SPNEGO (déprécié).
- Ajustement des paramètres de filtre de TAI SPNEGO. Voir la rubrique Configuration des propriétés personnalisées JVM, filtrage des requêtes HTTP et activation de l'intercepteur TAI SPNEGO dans WebSphere Application Server (obsolète).
- Utilisation du module de connexion personnalisé pour affecter l'identité au registre de WebSphere Application Server à partir d'Active Directory. Voir Mappage des ID utilisateur du client vers le serveur pour SPNEGO.
- Définition des propriétés personnalisées principales et supplémentaires de la machine virtuelle Java (JVM). Reportez-vous à Propriétés de configuration JVM TAI SPNEGO personnalisées (déprécié)
L'administrateur Web a accès aux composants de sécurité TAI SPNEGO suivants et aux données de configuration associées, comme indiqué dans le graphique suivant.

- Le module d'authentification Web et le mécanisme LTPA (Lightweight Third Party Authentication) constituent la structure d'exécution de plug-in pour les intercepteurs de relations de confiance. Pour plus d'informations sur la configuration du mécanisme LTPA à utiliser avec l'intercepteur TAI SPNEGO, voir Configuration du mécanisme LPTA (Lightweight Third Party Authentication).
- Le fournisseur JGSS (Java Generic Security Service) est inclus dans le SDK
Java (
jre/lib/ibmjgssprovider.jar
racine_serveur_app/java/endorsed/ibmjgssprovider.jar) et utilisé pour obtenir le contexte de sécurité Kerberos et les justificatifs utilisés pour l'authentification. IBM® JGSS 1.0 est une structure GSSAPI (Generic Security Service Application Programming Interface) Java associée au mécanisme de sécurité par défaut sous-jacent Kerberos V5. GSSAPI est une interface abstraite standardisée autorisant l'utilisation conjointe de différents mécanismes de sécurité fondés sur la clé privée, la clé publique et d'autres technologies de sécurité. Avec GSSAPI, les applications sécurisées ne sont plus affectées par la complexité et les spécificités des différents mécanismes de sécurité sous-jacents. GSSAPI authentifie l'identité et l'origine des messages et garantit leur intégrité et leur confidentialité. Pour plus d'informations, voir JGSS.
- Les propriétés de configuration Kerberos (krb5.conf ou krb5.ini ) et les clés de chiffrement Kerberos (stockées dans un fichier de clés Kerberos) sont utilisées pour établir l'authentification mutuelle sécurisée.
Le gestionnaire de la table de clés Kerberos (Ktab), qui fait partie de JGSS, permet de gérer les noms de principaux et les clés de service stockées dans un fichier de clés Kerberos local. Les paires nom de principal-clé répertoriées dans le fichier de clés Kerberos permettent aux services exécutés sur un hôte de s'authentifier auprès du centre de distribution des clés Kerberos (KDC). Pour qu'un serveur puisse utiliser Kerberos, un fichier de clés Kerberos doit être initialisé sur l'hôte sur lequel s'exécute le serveur.
La rubrique Utilisation de la commande ktab pour gérer le fichier de clés Kerberos présente les conditions de configuration Kerberos requises pour l'intercepteur TAI SPNEGO et l'utilisation du gestionnaire Ktab.
- Le fournisseur SPNEGO fournit l'implémentation du mécanisme d'authentification SPNEGO, située dans le fichier
/$WAS_HOME/java/jre/lib/ext/ibmspnego.jar
racine_serveur_app/java/ext/ibmspnego.jar.
- Les propriétés de configuration personnalisées contrôlent le comportement d'exécution de l'intercepteur TAI SPNEGO. Les opérations de configuration sont exécutées par le biais de la console d'administration ou des fonctions de scriptage. Pour plus d'informations sur ces propriétés de configuration personnalisées, voir Configuration des propriétés personnalisées TAI SPNEGO (déprécié).
- Les propriétés personnalisées de la machine virtuelle Java (JVM) contrôlent les informations de trace de diagnostic pour l'identification des incidents liés au fournisseur de sécurité JGSS et l'utilisation de la fonction de rechargement des propriétés. La rubrique Propriétés de configuration JVM TAI SPNEGO personnalisées (déprécié) décrit ces propriétés personnalisées de la JVM.
Etablissement d'un environnement de connexion unique intégré aux serveurs Microsoft Windows utilisant le domaine Active Directory.
- Réduction des coûts liés à l'administration d'un grand nombre d'ID et de mots de passe.
- Etablissement d'une transmission sécurisée et mutuellement authentifiée des justificatifs de sécurité à partir du navigateur Web ou des clients Microsoft .NET.
- Interopérabilité avec les services Web et les applications Microsoft .NET qui utilisent l'authentification SPNEGO au niveau du transport.
- Utilisateur final du navigateur
- L'utilisateur final doit configurer le navigateur Web ou l'application Microsoft .NET pour l'émission de requêtes HTTP traitées par l'intercepteur TAI SPNEGO.
- Administrateur Web
- L'administrateur Web est chargé de configurer l'intercepteur TAI SPNEGO de WebSphere Application Server pour répondre aux demandes HTTP du client.
- Administrateur de WebSphere Application Server
- L'administrateur WebSphere Application Server est chargé de configurer WebSphere Application Server et l'intercepteur TAI SPNEGO pour des performances d'installation optimales.