Paramètres du gestionnaire d'appel

Cette page permet de configurer les paramètres du gestionnaire d'appel, qui déterminent le mode d'acquisition des jetons de sécurité à partir des en-têtes des messages.

Vous pouvez configurer les paramètres du gestionnaire d'appel lorsque vous modifiez une liaison de cellule ou de serveur par défaut. Vous pouvez également configurer des liaisons spécifiques à l'application pour les jetons et les parties de message requis par l'ensemble de règles.

Pour afficher cette page de la console d'administration lorsque vous modifiez une liaison de cellule générale, procédez comme suit :
  1. Cliquez sur Services > Ensembles de règles > Liaisons de l'ensemble de règles par défaut. Le panneau des liaisons indique la liaison par défaut, par exemple Exemple de liaison de fournisseur.
  2. Pour modifier la liaison par défaut, cliquez sur Services > Ensembles de règles > Liaisons générales de l'ensemble de règles du fournisseur.
  3. Cliquez sur le nom de la liaison par défaut défini dans la première étape. Par exemple, Exemple de fournisseur.
  4. Cliquez sur la règle WS-Security dans la table des règles.
  5. Cliquez sur le lien Authentification et protection dans la section Liaisons de la règle de sécurité du message principal.
  6. Cliquez sur le lien nom_jeton dans la section Jetons de protection ou Jetons d'authentification.
  7. Cliquez sur le lien Gestionnaire d'appel.
Pour afficher cette page de la console d'administration lorsque vous configurez des liaisons spécifiques à une application pour les jetons et les parties de message requis par l'ensemble de règles, procédez comme suit :
  1. Cliquez sur Applications>Types d'application >Applications WebSphere enterprise.
  2. Sélectionnez une application contenant des services Web. Cette application doit contenir un fournisseur de services ou un client de service.
  3. Cliquez sur le lien Liaisons et ensembles de règles du fournisseur de services ou Liaisons et ensembles de règles de client de services dans la section Propriétés du service Web.
  4. Sélectionnez une liaison. Au préalable, il est nécessaire d'associer un ensemble de règles et d'affecter une liaison spécifique à l'application.
  5. Cliquez sur la règle WS-Security dans la table des règles.
  6. Cliquez sur le lien Authentification et protection dans la section Liaisons de la règle de sécurité du message principal.
  7. Cliquez sur le lien nom_jeton dans la section Jetons de protection ou Jetons d'authentification.
  8. Cliquez sur le lien Gestionnaire d'appel.

Ce panneau de la console d'administration s'applique uniquement aux applications JAX-WS (Java API for XML Web Services).

Le gestionnaire d'appel affiche des zones particulières pour les différents jetons configurés. Suivant que vous configurez des jetons de générateur ou de consommateur pour la protection, ou des jetons sortants ou entrants pour l'authentification, les sections et les zones de cette fenêtre affichent tout ou partie des zones décrites dans cette rubrique, comme le précise la description de chacune des zones.

Nom de classe

Les zones de la section Nom de classe sont disponibles pour tous les types de configuration de jeton.

Sélectionnez le nom de classe à utiliser pour le gestionnaire d'appel. Sélectionnez l'option Utiliser l'élément intégré par défaut pour assurer un fonctionnement normal. Utilisez l'option Utiliser un nom de classe personnalisé uniquement si vous utilisez un type de jeton personnalisé.

Pour le type de jeton Kerberos personnalisé, utilisez le nom de classe com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler pour la configuration du générateur de jetons. Utilisez com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler pour la configuration du destinataire de jeton.

Utiliser l'élément intégré par défaut

Indique que la valeur par défaut est utilisée pour le nom de classe. Utilisez la valeur par défaut (affichée dans la zone) pour le nom de classe lorsque vous sélectionnez ce bouton radio. Ce nom dépend du type de jeton et du fait que le gestionnaire d'appel est défini pour un générateur ou un destinataire de jeton. Cette option et l'option Utiliser un nom de classe personnalisé s'excluent mutuellement.

Utiliser un nom de classe personnalisé

Indique qu'une valeur personnalisée est utilisée pour le nom de classe. Sélectionnez ce bouton radio et entrez le nom dans la zone pour utiliser un nom de classe personnalisé.

Aucune valeur par défaut n'est disponible pour cette zone d'entrée. Utilisez les informations du tableau ci-dessous pour déterminer cette valeur :

Tableau 1. Noms de classes personnalisés du gestionnaire d'appel et types de jetons associés. Le gestionnaire d'appel détermine la façon dont les jetons de sécurité sont obtenus à partir des en-têtes des messages.
Type de jeton Consommateur ou générateur Nom de classe du gestionnaire d'appel
UsernameToken (Jeton de nom d'utilisateur) consommateur com.ibm.websphere.wssecurity.callbackhandler.UNTConsumeCallbackHandler
UsernameToken (Jeton de nom d'utilisateur) générateur com.ibm.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler
X509Token consommateur com.ibm.websphere.wssecurity.callbackhandler.X509ConsumeCallbackHandler
X509Token générateur com.ibm.websphere.wssecurity.callbackhandler.X509GenerateCallbackHandler
LTPAToken/LTPAPropagationToken consommateur com.ibm.websphere.wssecurity.callbackhandler.LTPAConsumeCallbackHandler
LTPAToken/LTPAPropagationToken générateur com.ibm.websphere.wssecurity.callbackhandler.LTPAGenerateCallbackHandler
SecureConversationToken consommateur com.ibm.ws.wssecurity.impl.auth.callback.SCTConsumeCallbackHandler
SecureConversationToken générateur com.ibm.ws.wssecurity.impl.auth.callback.WSTrustCallbackHandler

Ce bouton et l'option Utiliser l'élément intégré par défaut s'excluent mutuellement.

Certificats (générateur)

Les zones de la section Certificats sont disponibles si vous configurez un jeton de protection. Pour un jeton de générateur, vous pouvez cliquer pour sélectionner un espace de stockage de certificats dans la liste ou sur le bouton Nouveau pour ajouter un espace de stockage de certifcats.

Certificats (consommateur)

Les zones de la section Certificats sont disponibles si vous configurez un jeton de protection. Pour un jeton de consommateur, vous pouvez utiliser les option Faire confiance à tous les certificats ou Espace de stockage de certificats.

Certificats - Faire confiance à tous les certificats (consommateur)

Cette option s'applique uniquement au consommateur de jeton. Elle indique que le système fait confiance à tous les certificats et ne définit pas un espace de stockage de certificats spécifique. Cette option et l'option d'espace de stockage de certificats s'excluent mutuellement.

Certificats - Espace de stockage de certificats (consommateur)

Cette option s'applique uniquement au consommateur de jeton. Utilisez-la pour définir une collection d'espaces de stockage de certificats contenant des certificats intermédiaires qui peuvent englober une liste de révocation de certificats. Sélectionnez cette option pour sécuriser le ou les espaces de stockage de certificats définis dans la zone d'entrée. Cette option et l'option Faire confiance à tous les certificats s'excluent mutuellement. Lorsque vous sélectionnez l'option Espace de stockage de certificats, le bouton Nouveau est activé pour vous permettre de configurer un nouvel espace de stockage de certificats et un magasin d'ancres sécurisées.

Vous pouvez entrer la valeur par défaut Aucun dans la zone d'espace de stockage de certificats. Toutefois, vous devez définir une valeur spécifique pour le magasin d'ancrages sécurisés. Il n'existe pas de valeur par défaut. L'ancrage sécurisé est nécessaire si l'option Faire confiance à tous les certificats n'est pas sélectionnée.

Authentification de base

Les zones de la section Authentification de base sont disponibles si vous configurez un jeton d'authentification qui n'est pas un jeton de propagation LTPA.

Pour le type de jeton Kerberos personnalisé, vous devez renseigner la section Authentification de base pour la connexion Kerberos.

Nom d'utilisateur

Indique le nom de l'utilisateur à authentifier.

Mot de passe

Indique le mot de passe à authentifier. Entrez un mot de passe à authentifier dans cette zone d'entrée.

Confirmation du mot de passe

Indique le mot de passe à confirmer.

Fichier de clés

Les zones de la section Fichier de clés sont disponibles si vous configurez un jeton de protection.

Dans la liste des noms de fichier de clés, vous pouvez cliquer sur Personnalisé pour définir un fichier de clés personnalisé, cliquez sur l'un des noms de fichier de clés définis en externe, ou cliquez sur Aucun si aucun fichier de clés n'est requis.

Fichier de clés – Nom

Indique le nom du fichier de clés géré de manière centralisée à utiliser.

Cliquez sur le nom d'un fichier de clés géré de manière centralisée dans ce menu ou entrez l'une des valeurs suivantes :
NodeDefaultKeyStore
NodeDefaultTrustStore
NodeLTPAKeys
Aucun
Indique la non utilisation d'un fichier de clés géré de manière centralisée.
Personnalisé
Indique l'utilisation d'un fichier de clés géré de manière centralisée. Cliquez sur le lien Configuration du fichier de clés personnalisée pour configurer le fichier de clés personnalisé et les paramètres de clé.
Fichier de clés – Configuration du fichier de clés personnalisé

Indique un lien pour la création d'un fichier de clés personnalisé. Cliquez sur ce lien pour ouvrir une fenêtre permettant de configurer un fichier de clés personnalisé.

Clé

Les zones de la section Clé sont disponibles lorsque vous configurez un jeton de protection.

Nom

Indique le nom de la clé à utiliser. Dans cette zone obligatoire, entrez le nom de la clé à utiliser.

Alias

Indique le nom d'alias de la clé à utiliser. Dans cette zone obligatoire, entrez l'alias du nom de la clé à utiliser.

Mot de passe

Indique le mot de passe pour la clé à utiliser.

Vous ne pouvez pas définir de mot de passe relatif aux clés publiques pour le générateur de chiffrement asymétrique ou le consommateur de signature asymétrique.

Confirmation du mot de passe

Indique le mot de passe de confirmation pour la clé à utiliser. Entrez le mot de passe déjà fourni dans la zone Mot de passe pour confirmation.

Vous n'avez pas à fournir de mot de passe de confirmation relatif aux clés publiques pour le chiffrement sortant ou la signature sortante asymétrique.

Propriétés personnalisées

Les zones de la section Propriétés personnalisées sont disponibles pour tous les types de configuration de jeton.

Vous pouvez ajouter des propriétés personnalisées requises par le gestionnaire d'appel à l'aide de paires nom-valeur.

Pour implémenter le chiffrement des certificats de signataire quand vous utilisez le modèle de programmation JAX-WS, ajoutez la propriété personnalisée com.ibm.wsspi.wssecurity.token.cert.useRequestorCert avec la valeur true dans le gestionnaire d'appel du générateur de jeton de chiffrement. Cette implémentation utilise le certificat du signataire de la demande SOAP pour chiffrer la réponse SOAP. Cette propriété personnalisée est utilisée par le générateur de réponse.

Pour un jeton Kerberos personnalisé basé sur OASIS Web Services Security Specification for Kerberos Token Profile V1.1, spécifiez la propriété suivante pour la génération du jeton : com.ibm.wsspi.wssecurity.krbtoken.clientRealm. Définit le nom du domaine Kerberos associé au client et permet au domaine de lancer la connexion Kerberos. S'il n'est pas indiqué, le nom de domaine Kerberos par défaut est utilisé. Cette propriété est facultative pour un environnement de domaine Kerberos unique. Lors de l'implémentation de la sécurité des services Web dans un environnement Kerberos inter-domaines ou de confiance, vous devez spécifier une valeur pour la propriété clientRealm.

La propriété personnalisée Kerberos com.ibm.wsspi.wssecurity.krbtoken.loginPrompt permet de réaliser la connexion Kerberos lorsque la valeur est true. La valeur par défaut est False. Cette propriété est facultative.

Lorsque vous configurez un jeton de nom d'utilisateur pour le modèle de programmation JAX-WS, il est fortement recommandé d'ajouter les propriétés personnalisées suivantes à la configuration du gestionnaire d'appel disposer d'une protection contre les attaques de type replay. Ces propriétés personnalisées activent et vérifient le nonce et l'horodatage pour l'authentification des messages.
Nom de la propriété (générateur) Valeur de la propriété
com.ibm.wsspi.wssecurity.token.username.addNonce true
com.ibm.wsspi.wssecurity.token.username.addTimestamp true
Nom de la propriété (consommateur) Valeur de la propriété
com.ibm.wsspi.wssecurity.token.username.verifyNonce true
com.ibm.wsspi.wssecurity.token.username.verifyTimestamp true
Nom

Indique le nom de la propriété personnalisée à utiliser.

Les propriétés personnalisées ne sont pas initialement affichées dans cette colonne. Cliquez sur l'une des actions ci-dessous pour les propriétés personnalisées :

Bouton Résultat
Nouveau Crée une entrée de propriété personnalisée. Pour ajouter une propriété personnalisée, entrez le nom et la valeur.
Supprimer Supprime la propriété personnalisée sélectionnée.
Valeur

Indique la valeur de la propriété personnalisée à utiliser. Dans la zone d'entrée Valeur, vous pouvez entrer ou supprimer la valeur d'une propriété personnalisée.




Les liens marqués (en ligne) requièrent un accès à Internet.

Tâches associées
Référence associée
Paramètres des jetons de protection (consommateur ou générateur)
Collection d'ensembles de règles de l'application
Paramètres des ensembles de règles de l'application
Recherche de collections d'applications associées
Paramètres des liaisons des ensembles de règles


Nom du fichier : uwbs_wsspsbch.html