Paramètres de configuration du générateur de jeton

Cette page permet de spécifier les informations relatives au générateur de jetons. Ces informations sont utilisées côté générateur pour générer le jeton de sécurité uniquement.

Pour afficher cette page de la console d'administration au niveau de la cellule, procédez aux opérations ci-dessous.
  1. Cliquez sur Sécurité > Exécution de la sécurité JAX-WS et JAX-RPC.
  2. Dans la section Liaisons de générateur par défaut JAX-RPC, sélectionnez Générateurs de jetons > nom_générateur_jetons ou cliquez sur Nouveau pour créer un générateur de jetons.
Pour afficher cette page de la console d'administration au niveau serveur, procédez comme suit :
  1. Cliquez sur Serveurs > Types de serveurs > Serveurs d'applications WebSphere > nom_serveur.
  2. Sous Sécurité, cliquez sur Module d'exécution de la sécurité JAX-WS et JAX-RPC.
    Environnement de version mixte : Dans une cellule de noeuds mixtes avec un serveur exécutant WebSphere Application Server version 6.1 ou antérieure, cliquez sur Services Web : Liaisons par défaut pour la sécurité des services Web.mixv
  3. Dans la section Liaisons de générateur par défaut JAX-RPC, sélectionnez Générateurs de jetons > nom_générateur_jetons ou cliquez sur Nouveau pour créer un générateur de jetons.
  1. Cliquez sur Applications > Types d'applications > Applications d'entreprise WebSphere > nom_application.
  2. Sous Modules, cliquez sur Gestion des modules > nom_URI.
  3. Sous Propriétés supplémentaires, vous pouvez accéder aux informations relatives aux générateurs de jetons pour les liaisons ci-dessous.
    • Pour la liaison du générateur de demande (émetteur), cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées.
    • Pour la liaison du générateur de réponse (émetteur), cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées.
  4. Cliquez sur Nouveau pour créer un générateur de jetons ou cliquez sur le nom d'un générateur de jetons pour spécifier ses paramètres.
Pour afficher cette page de la console d'administration au niveau d'une application, procédez aux opérations ci-dessous.
  1. Cliquez sur Applications > Types d'applications > Applications d'entreprise WebSphere > nom_application.
  2. Sous Modules, cliquez sur Gestion des modules > nom_URI.
  3. Sous Propriétés de la sécurité des services Web, cliquez sur Services Web : Liaisons de sécurité du client.
  4. Dans la section Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées.
  5. Sous Propriétés supplémentaires, cliquez sur Générateurs de jetons > Nouveau.

Avant de spécifier des propriétés, indiquez une valeur dans les zones Nom du générateur de jetons et Nom de la classe du générateur de jetons.

Nom du générateur de jetons [Version 6 only]

Spécifie le nom de la configuration du générateur de jetons.

Par exemple, les noms de générateur de jeton X509 par défaut sont gen_enctgen pour le chiffrement ou gen_signtgen pour la signature. Ou, un nom de générateur de jeton personnalisé peut être sig_tgen pour la signature.

Nom de la classe du générateur de jetons [Version 6 only]

Spécifie le nom de la classe d'implémentation du générateur de jetons.

Cette classe doit implémenter l'interface com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent.

Nom de la classe du générateur de jetons [Version 6 only]

Spécifie le nom de la classe d'implémentation du générateur de jetons.

Chemin d'accès au certificat [Version 6 only]

Spécifie la liste CRL (certificate revocation list) utilisée pour la génération d'un jeton de sécurité encapsulé dans un type de jeton PKCS#7 avec CRL.

Lorsque le générateur de jetons n'est pas conçu pour un type de jeton PKCS#7, vous devez sélectionner Aucun. Lorsque le générateur de jetons est défini pour le type de jeton PKCS#7 et si vous voulez intégrer la liste CRL dans le jeton de sécurité, sélectionnez Informations de signature dédiées et spécifiez la liste CRL du magasin de certificats de collection.

Vous pouvez spécifier une configuration de magasin de certificats pour les liaisons suivantes, aux niveaux ci-après.
Tableau 1. Paramètres des liaisons de chemin de certificat. Le certificat permet de signer les messages.
Nom de la liaison Niveau serveur, niveau cellule ou niveau application Chemin
Liaisons de générateur par défaut Niveau de la cellule
  1. Cliquez sur Sécurité > Exécution de la sécurité JAX-WS et JAX-RPC.
  2. Dans la section Propriétés supplémentaires, cliquez sur Magasin de certificats de collection.
Liaisons de générateur par défaut Niveau du serveur
  1. Cliquez sur Serveurs > Types de serveurs > Serveurs d'applications WebSphere > nom_serveur.
  2. Sous Sécurité, cliquez sur Module d'exécution de la sécurité JAX-WS et JAX-RPC.
    Environnement de version mixte : Dans une cellule de noeuds mixtes avec un serveur exécutant WebSphere Application Server version 6.1 ou antérieure, cliquez sur Services Web : Liaisons par défaut pour la sécurité des services Web.mixv
  3. Dans la section Propriétés supplémentaires, cliquez sur Magasin de certificats de collection.

Le magasin de certificats de collection permet de configurer une liste CRL (certificate revocation list) associée ; pour ce faire, cliquez sur Liste de retrait de certificats dans la section Propriétés supplémentaires.

Ajouter nonce [Version 6 only]

Indique si la valeur nonce est incluse dans le jeton de nom d'utilisateur pour le générateur de jetons. Nonce est un numéro de chiffrement unique, incorporé dans un message pour éviter les attaques à répétition et non autorisées des jetons de nom d'utilisateur.

Si vous sélectionnez l'option Ajouter nonce au niveau de l'application, vous pouvez spécifier les propriétés suivantes dans la section Propriétés supplémentaires :

Tableau 2. Propriétés supplémentaires de l'élément nonce. Nonce permet de renforcer la sécurité d'un message.
Nom de la propriété Valeur par défaut Explication
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.cacheTimeout
600 secondes Indique le délai d'expiration, en secondes, de la valeur nonce mise en mémoire cache sur le serveur.
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.clockSkew
0 secondes Indique le temps en secondes avant expiration de l'horodatage nonce.
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.maxAge
300 secondes Spécifie la valeur du décalage de l'horloge, en secondes, à prendre en compte lorsque le serveur d'applications vérifie le message.

Ces propriétés sont disponibles dans la console d'administration au niveau de la cellule et au niveau du serveur. Toutefois, au niveau de l'application, vous pouvez configurer les propriétés dans la section Propriétés supplémentaires.

Cette option s'affiche au niveau de la cellule, du serveur et de l'application. Elle est valide uniquement lorsque le type de jeton généré est un jeton de nom d'utilisateur.

Ajouter l'horodatage [Version 6 only]

Indique si l'horodatage est inséré ou non dans le jeton de nom d'utilisateur.

Cette option s'affiche au niveau de la cellule, du serveur et de l'application. Elle est valide uniquement lorsque le type de jeton généré est un jeton de nom d'utilisateur.

Nom local du type de valeur [Version 6 only]

Indique le nom local du type de valeur pour le jeton généré.

Pour un jeton de nom d'utilisateur et un jeton de sécurité du certificat X.509, ce produit fournit des types de valeur prédéfinis. Lorsque vous indiquez les noms locaux suivants, il n'est pas nécessaire de spécifier l'URI du type de valeur.
Jeton de nom d'utilisateur
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
X509 certificate token
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
Certificats X509 dans PKIPath
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
Liste de certificats X509 et de listes CRL dans un PKCS#7
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
Lightweight Third Party Authentication
LTPA_PROPAGATION
Important : Pour LTPA, le nom local du type de valeur est LTPA. Si vous entrez LTPA dans la zone du nom local, vous devez spécifier la valeur d'URI http://www.ibm.com/websphere/appserver/tokentype/5.0.2 dans la zone de l'URI du type de valeur. Pour la propagation des jetons LTPA, le nom local du type de valeur est LTPA_PROPAGATION. Si vous entrez LTPA_PROPAGATION comme nom local, vous devez également indiquer la valeur d'URI http://www.ibm.com/websphere/appserver/tokentype dans la zone d'URI de type de valeur. Pour les autres types de valeur prédéfinis (jeton de nom d'utilisateur, jeton de certificat X509, certificats X509 dans un PKIPath, liste de certificats X509 et liste CRL dans un PKCS#7), la valeur de la zone du nom local commence par http://. Par exemple, si vous indiquez le jeton de nom d'utilisateur comme type de valeur, entrez http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken dans la zone du nom local du type de valeur ; il n'est pas nécessaire d'entrer une valeur dans la zone de l'URI du type de valeur.

Pour le type de valeur personnalisé des jetons personnalisés, vous pouvez spécifier le nom local et l'URI du QName (quality name) du type de valeur. Vous pouvez par exemple entrer Custom comme nom local et http://www.ibm.com/custom comme URI.

URI du type de valeur [Version 6 only]

Indique l'URI de l'espace de noms du type de valeur pour le jeton généré.

Lorsque vous spécifiez le générateur de jetons pour le jeton de nom d'utilisateur ou le jeton de sécurité d'un certificat X.509, il n'est pas nécessaire de sélectionner cette option. Pour spécifiez un autre jeton, entrez l'URI du Qname du type de valeur.

Le serveur d'applications fournit les URI de type de valeur prédéfini suivantes :
  • Pour le jeton LTPA : http://www.ibm.com/websphere/appserver/tokentype/5.0.2
  • Pour la propagation du jeton LTPA : http://www.ibm.com/websphere/appserver/tokentype



Les liens marqués (en ligne) requièrent un accès à Internet.

Tâches associées
Référence associée
Collection de destinataires de jeton
Paramètres de configuration du destinataire de jeton
Collection du générateur de jeton


Nom du fichier : uwbs_tokengeneratorn.html