Lors de la configuration du client pour la signature des demandes,
indiquez les parties à signer numériquement dans un message.
Avant de commencer
Important : Il existe une différence importante entre les applications
version 5.x, version 6 et ultérieure. Les informations dans cette rubrique concernent uniquement les applications
Version 5.x utilisées avec WebSphere Application
Server Version 6.0.x et versions ultérieures. Les informations ne s'appliquent pas aux applications version 6.0.x et versions ultérieures.
Avant d'effectuer la procédure indiquée, consultez les rubriques
suivantes pour vous familiariser avec les onglets
Extensions de sécurité et
Liaison de port dans l'éditeur de client de services Web avec un outil
d'assemblage.
Ces deux onglets permettent de configurer respectivement les extensions et les liaisons de sécurité des Services Web.
Pourquoi et quand exécuter cette tâche
Pour indiquer les parties d'un message à chiffrer lors de la configuration du client pour la signature des requêtes, effectuez les opérations ci-dessous.
Procédure
- Lancez un outil d'assemblage. Pour plus d'informations, consultez les informations relatives aux outils d'assemblage.
- Cliquez sur .
- Cliquez sur .
- Cliquez avec le bouton droit sur le fichier application-client.xml,
sélectionnez , puis
cliquez sur l'onglet Extension de service Web. L'éditeur de descripteur de déploiement client s'ouvre.
- Développez la section . L'intégrité fait référence à la signature numérique
alors que la confidentialité se réfère au chiffrement. L'intégrité limite le risque d'altération des données lors de leur transmission sur Internet. Pour plus d'informations sur la signature numérique des messages SOAP, voir Signature numérique XML.
- Indiquez les parties du message à associer à une signature numérique en cliquant sur Ajouter et en
sélectionnant body, timestamp ou SecurityToken. La liste ci-après répertorie les descriptions des parties de message
- body
- Partie du message contenant les données utilisateur.
- timestamp
- L'élément timestamp (horodatage) détermine si le message est valide en fonction de l'heure à laquelle il a été envoyé
et reçu. Si vous sélectionnez timestamp, passez à l'étape
suivante et sélectionnez Ajouter l'horodatage créé pour ajouter un horodatage
à un message.
- SecurityToken
- Le jeton de sécurité authentifie le client. Si cette option est sélectionnée,
le message est signé.
Si l'option Ajouter l'horodatage créé est sélectionnée et
configurée, vous pouvez décider d'associer une signature numérique au message à
l'aide d'un horodatage. Si vous avez sélectionné une méthode d'authentification pour la configuration de connexion, vous pouvez associer une signature numérique au message en utilisant un jeton de sécurité.
- Facultatif : Développez la section Ajouter l'horodatage
créé et sélectionnez cette option si vous souhaitez ajouter un horodatage au
message. Vous pouvez indiquer la date d'expiration de l'horodatage afin d'éviter les attaques de type "replay".
L'expression de la durée correspond au format étendu
[ISO 8601]
PnYnMnDTnHnMnS, où :
- nY représente le nombre d'années,
- nM représente le nombre de mois,
- nD représente le nombre de jours,
- T représente le séparateur de date et d'heure,
- nH représente le nombre d'heures,
- nM représente le nombre de minutes,
- nS représente le nombre de secondes. Le nombre de secondes peut inclure des valeurs décimales.
Par exemple, pour indiquer une durée d'un an, deux mois, trois jours, dix heures et trente minutes, le format correspond à P1Y2M3DT10H30M.
En règle générale, la durée d'un horodatage est comprise entre 10 et 30 minutes. Par exemple, 10 minutes sont représentées sous la forme P0Y0M0DT0H10M0S.
Le caractère P précède les valeurs d'heure et de date.
Résultats
Important : Si vous configurez correctement les informations de signature du client et du serveur mais que vous recevez une erreur
Soap body not signed lors de l'exécution du client, vous pouvez être amené à configurer l'acteur. Configurez l'acteur dans les emplacements suivants sur le client à l'aide de l'éditeur de client de services Web dans un outil d'assemblage :
- Cliquez sur et indiquez les informations sur l'acteur dans la zone URI acteur.
- Cliquez sur et indiquez les informations relatives à l'acteur dans la zone
Acteur.
Vous devez configurer les mêmes chaînes d'acteurs pour le service Web du serveur, qui traite la demande et renvoie la réponse. Configurez
l'acteur aux emplacements suivants :
- Cliquez sur .
- Sélectionnez et indiquez les informations relatives à
l'acteur dans la zone Acteur.
Les informations indiquées pour l'acteur sur le client et le serveur doivent faire référence à la même chaîne. Lorsque les zones Acteur sont identiques sur le client et le serveur, la demande
ou la réponse est traitée au lieu d'être réacheminée en aval. Les zones Acteur peuvent être différentes lorsque vous disposez de services Web
assurant la fonction de passerelle pour d'autres services Web. Toutefois, dans tous les autres cas, assurez-vous que les informations de l'acteur sont identiques sur le client et le serveur. Lorsque les services web assurent la fonction de passerelle et qu'un acteur différent est configuré lors de la transmission de la requête sur la passerelle, les services Web ne traitent pas le message d'un client. A la place, les services Web envoient la requête en aval. Le processus en aval qui contient
la chaîne d'acteurs correcte traite la demande. La même procédure est exécutée pour la réponse.
C'est pourquoi, il est important de
vérifier que les zones Acteur appropriées du client et du serveur sont
synchronisées.
Que faire ensuite
Une fois que vous avez indiqué les parties du message associées à une signature numérique, vous devez définir la méthode utilisée pour associer une signature numérique au message. Pour plus d'informations, voir
Configuration du client pour la signature des requêtes : choix de la méthode de signature numérique.