Paramètres des jetons de consommateur ou de générateur d'authentification

Les jetons d'authentification sont utilisés afin de prouver ou d'attester une identité. Utilisez la console d'administration pour ajouter des paramètres de jeton d'authentification pour des parties de message lorsque vous modifiez une liaison générale.

Pour configurer les jetons d'authentification, procédez comme suit :

  1. Pour afficher et sélectionner les liaisons générales définies comme liaisons d'ensemble de règles par défaut de la sécurité globale, cliquez sur Services > Ensembles de règles > Liaisons de l'ensemble de règles par défaut. Les liaisons spécifiées sont utilisées à moins qu'elles ne soient remplacées au point d'association au niveau du serveur ou d'un domaine de sécurité.
  2. Pour accéder aux et configurer les liaisons générales et pour ajouter des paramètres de jeton d'authentification pour des parties de message, cliquez sur Services > Ensembles de règles > Liaisons générales de l'ensemble de règles du fournisseur.
  3. Cliquez sur la règle WS-Security dans la table des règles.
  4. Cliquez sur le lien Authentification et protection dans la section Liaisons de la règle de sécurité du message principal.
  5. Cliquez sur Nouveau jeton pour créer un générateur ou consommateur de jeton ou cliquez sur un lien de jeton de consommateur ou de générateur existant dans la table Jetons d'authentification.
Pour afficher et configurer des liaisons spécifiques à l'application pour les jetons et les parties de message requis par un ensemble de règles, procédez comme suit :
  1. Cliquez sur Applications > Types d'applications > Applications d'entreprise WebSphere.
  2. Sélectionnez une application contenant des services Web. Cette application doit contenir un fournisseur de services ou un client de service.
  3. Cliquez sur le lien Ensembles de règles et liaisons du fournisseur de services ou sur le lien Ensembles de règles et liaisons du client de services dans la section Propriétés des services Web.
  4. Sélectionnez une liaison. Au préalable, il est nécessaire d'associer un ensemble de règles et d'affecter une liaison spécifique à l'application.
  5. Cliquez sur la règle WS-Security dans la table des règles.
  6. Cliquez sur le lien Authentification et protection dans la section Liaisons de la règle de sécurité du message principal.
  7. Cliquez sur un lien de jeton de consommateur ou de générateur dans la table Jetons de protection.

Ce panneau de la console d'administration s'applique uniquement aux applications JAX-WS (Java API for XML Web Services).

Nom

Indique le nom du jeton configuré. Lorsque vous utilisez des liaisons spécifiques à une application, cette zone ne s'affiche pas.

Type de jeton

Indique le type de jeton en cours de configuration.

Lorsque vous utilisez des liaisons spécifiques à l'application, le type de jeton est extrait à partir du fichier de règles et il est en lecture seule. Lorsque vous utilisez des liaisons générales, sélectionnez un type de jeton dans la liste. Les types de jeton disponibles sont les suivants :

  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • Jeton de nom d'utilisateur V1.1
  • Jeton de nom d'utilisateur V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • Jeton de propagation LTPA
  • X509V1 Token V1.1
  • Jeton LTPA
  • Jeton LTPA V2.0
  • Jeton personnalisé
Nouvelle fonction : Le type de jeton LTPA Token V2.0 est disponible uniquement pour les liaisons utilisant le nouvel espace nom dans IBM WebSphere Application Server version 7.0 ou ultérieure. Si vous sélectionnez le jeton LTPA V2.0 comme type de jeton pour le consommateur de jeton, les jetons LTPA et LTPA V2.0 peuvent être utilisés. Pour restreindre le consommateur de jeton aux jetons LTPA V2.0 uniquement, cochez la case Appliquer la version du jeton.

Si vous sélectionnez le jeton LTPA comme type de jeton pour le générateur de jeton, le mode d'interopérabilité à connexion unique doit être activé. Ce paramètre se trouve dans Sécurité globale sous Sécurité Web et SIP. Si l'indicateur d'interopérabilité n'est pas défini sur activé (true), une erreur se produit lorsque l'application associée à ces liaisons est lancée. Si vous voulez utiliser les jetons LTPA sans vérifier l'état de l'indicateur d'interopérabilité, vous pouvez définir la propriété personnalisée com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 du générateur de jetons. Définissez la propriété en utilisant la console d'administration, comme indiqué dans la rubrique Activation ou désactivation du mode d'interopérabilité de connexion unique pour le jeton LTPA. La propriété ne peut pas être définie en utilisant l'API de sécurité des services Web.

newfeat
Nom local

Indique le nom local du générateur ou du consommateur du jeton d'authentification. Le contenu de la zone Nom local est fonction du type de jeton affiché. Cette zone permet de modifier uniquement les types de jeton personnalisés.

URI

Indique l'URI (uniform resource identifier) du générateur ou du consommateur du jeton d'authentification. Le contenu de la zone URI est fonction du type de jeton affiché. Cette zone permet de modifier uniquement les types de jeton personnalisés.

Laissez cette zone vide si le type de jeton personnalisé est utilisé pour générer un jeton Kerberos comme défini dans OASIS Web Services Security Specification for Kerberos Token Profile v1.1.

Référence du jeton de sécurité

Indique la référence du jeton de sécurité. La zone de référence du jeton de sécurité s'affiche uniquement pour les jetons d'authentification avec les liaisons spécifiques à une application. Cette zone n'est pas disponible pour les liaisons par défaut.

Connexion JAAS

Indique une liste de connexions JAAS (Java Authentication and Authorization Service) d'applications et de systèmes effectifs pour le domaine à laquelle la liaison est sectorisée.

Si une application est sectorisée à la sécurité globale ou sectorisée à un domaine qui ne personnalise pas ses propres connexions JAAS, une liste de connexions globales s'affiche dans la liste de menu. Cliquez sur Nouvelle connexion d'application pour accéder à la collection de connexions d'application JAAS globale. La liste du menu de connexion JAAS et le comportement du bouton Nouvelle connexion d'application dépendent de la liaison, s'il elle a été créée ou non avec une association. Prenez garde lors du changement des domaines de sécurité car une configuration de sécurité précédemment référencée, comme une connexion JAAS, risque de ne pas être accessible dans un autre domaine de sécurité.

Propriétés personnalisées – Nom

Indique le nom utilisé pour la propriété personnalisée.

Les propriétés personnalisées ne sont pas initialement affichées dans cette colonne. Cliquez sur l'un des boutons suivants pour activer les actions décrites :

Bouton Action résultante
Nouveau Crée une entrée de propriété personnalisée. Pour ajouter une propriété personnalisée, entrez le nom et la valeur.
Modifier Permet de modifier la propriété personnalisée sélectionnée. La sélection de ce bouton fournit des zones d'entrée et crée la liste des valeurs de cellule à modifier. Ce bouton est disponible uniquement lorsqu'au moins une propriété personnalisée a été ajoutée.
Supprimer Supprime la propriété personnalisée sélectionnée.
Propriétés personnalisées – Valeur

Indique la valeur de la propriété personnalisée à utiliser. Utilisez la zone Valeur pour entrer, modifier ou supprimer la valeur d'une propriété personnalisée.

Si le type de jeton personnalisé est utilisé pour générer un jeton Kerberos, spécifiez les propriétés personnalisées suivantes :

Nom de la propriété personnalisée Valeur
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Indique le nom du service cible.

Cette propriété est nécessaire.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Spécifie le nom de l'hôte associé au service cible dans le format suivant : myhost.mycompany.com.

Cette propriété est nécessaire.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Indique le nom du domaine associé au service cible.

Cette propriété est facultative pour un domaine Kerberos unique. Si la propriété targetServiceRealm n'est pas spécifiée, le nom de domaine par
défaut du fichier de configuration Kerberos est utilisé comme nom de domaine. Dans un environnement Kerberos inter-domaines ou de confiance, vous devez
spécifier une valeur pour la propriété targetServiceRealm.

Pour le générateur de jetons, la combinaison du nom de service cible et du nom d'hôte cible forment un SPN qui correspond au nom principal de service Kerberos cible. Le client Kerberos demande le jeton Kerberos AP_REQ initial pour le SPN.

Si une application crée ou consomme un jeton AP_REQ Kerberos V5 pour chaque message de demande des services Web, affectez à la propriété personnalisée com.ibm.wsspi.wssecurity.kerberos.attach.apreq la valeur true dans le créateur de jeton et les liaisons du consommateur de jeton pour cette application. Pour plus d'informations, reportez-vous à la rubrique des conseils de résolution des incidents de sécurité des services Web.

Gestionnaire d'appel

Fournit un lien vers la page du gestionnaire d'appel pour vous permettre de les configurer. Les paramètres du gestionnaire d'appel déterminent le mode d'acquisition des jetons de sécurité à partir des en-têtes des messages.

Si vous travaillez avec un jeton de nom d'utilisateur ou un jeton LTPA qui utilise des liaisons par défaut, les noms d'utilisateur et les mots de passe peuvent avoir été fournis à titre d'exemple. Il est nécessaire de mettre à jour les valeurs pour ces type de jeton.




Les liens marqués (en ligne) requièrent un accès à Internet.

Tâches associées
Référence associée
Paramètres du gestionnaire d'appel
Paramètres des jetons de protection (consommateur ou générateur)
Collection d'ensembles de règles de l'application
Protection et authentification WS-Security


Nom du fichier : uwbs_wsspsbat.html