Paramètres des jetons de protection (consommateur ou générateur)

Cette page permet de configurer les jetons de protection. Les jetons de protection signent les messages pour préserver leur intégrité ou chiffrent les messages pour garantir leur confidentialité.

Vous pouvez ajouter des paramètres de jeton de protection pour des parties de message lorsque vous modifiez des liaisons générales de l'ensemble de règles du client ou du fournisseur générales. Vous pouvez également configurer des liaisons spécifiques à l'application pour les jetons et les parties de message requis par l'ensemble de règles.

Pour afficher cette page de la console d'administration lorsque vous modifiez une liaison de fournisseur générale, procédez comme suit :
  1. Cliquez sur Services > Ensembles de règles > Liaisons générales de l'ensemble de règles du fournisseur.
  2. Cliquez sur le nom de la liaison que vous voulez modifier.
  3. Cliquez sur la règle WS-Security dans la table des règles.
  4. Cliquez sur le lien Authentification et protection dans la section des liaisons de règles de sécurité.
  5. Cliquez sur Nouveau jeton pour créer un générateur ou un consommateur de jetons ou cliquez sur un lien de consommateur ou de générateur de jetons existant dans la table Jetons de protection.
Pour afficher cette page de la console d'administration lorsque vous modifiez une liaison de client générale, procédez comme suit :
  1. Cliquez sur Services > Ensembles de règles > Liaisons générales de l'ensemble de règles du client.
  2. Cliquez sur le nom de la liaison que vous voulez modifier.
  3. Cliquez sur la règle WS-Security dans la table des règles.
  4. Cliquez sur le lien Authentification et protection dans la section Liaisons de la règle de sécurité du message principal.
  5. Cliquez sur Nouveau jeton pour créer un générateur ou un destinataire de jeton ou cliquez sur un lien de jeton de consommateur ou de générateur existant dans la table Jetons de protection.
Pour afficher cette page de la console d'administration lorsque vous configurez des liaisons spécifiques à une application pour les jetons et les parties de message requis par l'ensemble de règles, procédez comme suit :
  1. Cliquez sur Applications > Applications d'entreprise Websphere .
  2. Sélectionnez une application contenant des services Web. Cette application doit contenir un fournisseur de services ou un client de service.
  3. Cliquez sur le lien Liaisons et ensembles de règles du fournisseur de services ou Liaisons et ensembles de règles de client de services dans la section Propriétés du service Web.
  4. Sélectionnez une liaison. Au préalable, il est nécessaire d'associer un ensemble de règles et d'affecter une liaison.
  5. Cliquez sur la règle WS-Security dans la table des règles.
  6. Cliquez sur le lien Authentification et protection dans la section des liaisons de règles de sécurité.
  7. Cliquez sur un lien de jeton de consommateur ou de générateur dans la table Jetons de protection.

Ce panneau de la console d'administration s'applique uniquement aux applications JAX-WS (Java API for XML Web Services).

Nom

Indique le nom du générateur ou du destinataire de jeton. Entrez un nom dans cette zone lorsque vous créez un jeton.

Type de jeton

Indique le type de jeton. Lorsque vous utilisez des liaisons, le type de jeton est déterminé par la règle et ne peut pas être modifié.

Les valeurs admises sont les suivantes :
  • LPTA Token V2.0
  • Secure Conversation Token V1.3
  • Secure Conversation Token V200502
  • X509V3 Token V1.1
  • X509V3 Token V1.0
  • X509PKCS7 Token V1.1
  • X509PKCS7 Token V1.0
  • X509PkiPathV1 Token V1.1
  • X509PkiPathV1 Token V1.0
  • X509V1 Token V1.1
  • Jeton personnalisé
Le type de jeton Secure Conversation Token v200502 pour la règle WS-Security est requis pour un jeton de contexte de sécurité conformément à ce qui est défini dans la spécification WS-SecureConversation de février 2005.
Appliquer la version du jeton
Nom local

Indique le nom local du générateur ou du consommateur du jeton personnalisé. Le contenu de la zone Nom local est fonction du type de jeton affiché. Cette zone permet de modifier uniquement les types de jeton personnalisés.

Si le type de jeton personnalisé est utilisé pour générer un jeton Kerberos conformément à la spécification OASIS Web Services Security pour Kerberos Token Profile V1.1, utilisez l'une des valeurs répertoriées ci-dessous pour son nom local. La valeur que vous choisissez dépend du niveau de spécification du jeton Kerberos généré par le centre de distribution de clés (KDC). Le tableau ci-dessous répertorie chaque valeur et le niveau de spécification qui lui est associé. A des fins d'interopérabilité, la norme Basic Security Profile V1.1 requiert l'utilisation du nom local http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ.

Valeur de nom local pour le jeton Kerberos Niveau de spécification associé
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ Kerberos v5 AP-REQ comme défini dans la spécification Kerberos. Utilisez cette valeur lorsque le ticket Kerberos est une requête de programme d'application.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ Jeton du mécanisme GSS-API Kerberos V5 contenant un message KRB_AP_REQ comme défini dans RFC-1964 [1964], Sec. 1.1 et son successeur RFC-4121, Sec. 4.1. Utilisez cette valeur lorsque le ticket Kerberos est une requête de programme d'application (ST + Authentificateur).
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 Kerberos v5 AP-REQ comme défini dans RFC1510. Utilisez cette valeur lorsque le ticket Kerberos est une requête de programme d'application par RFC1510.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 Jeton du mécanisme GSS-API Kerberos V5 contenant un message KRB_AP_REQ comme défini dans RFC-1964, Sec. 1.1 et son successeur RFC-4121, Sec. 4.1. Utilisez cette valeur lorsque le ticket Kerberos est une requête de programme d'application (ST + Authentificateur) par RFC1510.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 Kerberos v5 AP-REQ comme défini dans RFC4120. Utilisez cette valeur lorsque le ticket Kerberos est une requête de programme d'application par RFC1510.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 Jeton du mécanisme GSS-API Kerberos V5 contenant un message KRB_AP_REQ comme défini dans RFC-1964, Sec. 1.1 et son successeur, RFC-4121, Sec. 4.1. Utilisez cette valeur lorsque le ticket Kerberos est une requête de programme d'application (ST + Authentificateur) par RFC4120.
URI

Indique l'URI (uniform resource identifier) du générateur ou du consommateur du jeton personnalisé. Le contenu de la zone URI est fonction du type de jeton affiché. Cette zone permet de modifier uniquement les types de jeton personnalisés.

Si le type de jeton personnalisé est utilisé pour générer un jeton Kerberos conformément à la spécification OASIS Web Services Security du profil de jeton Kerberos V1.1, laissez la zone vide.

Connexion JAAS

Indique les informations pour la connexion de l'application JAAS (Java Authentication and Authorization Service). Cliquez sur Nouveau pour ajouter une nouvelle connexion d'application JAAS ou entrée de connexion de système JAAS.

Si le serveur réside dans un domaine de sécurité qui inclut des connexions système et d'application spécifiques, ces connexions sont mentionnées dans le menu de connexion JAAS, en plus des connexions globales.

Nouvelle connexion d'application
Propriétés personnalisées – Nom

Indique le nom de la propriété personnalisée. Les propriétés personnalisées sont affichées dans cette colonne lorsqu'elles sont ajoutées.

Sélectionnez l'une des actions suivantes pour les propriétés personnalisées :

Bouton Action résultante
Nouveau Crée une entrée de propriété personnalisée. Pour ajouter une propriété personnalisée, entrez le nom et la valeur.
Modifier Indique que la propriété personnalisée sélectionnée peut être modifiée. Sélectionnez cette action pour fournir des zones d'entrée et créer la liste des valeurs de cellule à modifier. Ce bouton est disponible uniquement lorsqu'au moins une propriété personnalisée a été ajoutée.
Supprimer Supprime la propriété sélectionnée.
Si le type de jeton personnalisé est utilisé pour générer un jeton Kerberos, spécifiez les propriétés personnalisées suivantes :
Nom de la propriété personnalisée Valeur
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Indique le nom du service cible.

Cette propriété est nécessaire.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Spécifie le nom de l'hôte associé au service cible dans le format suivant : myhost.mycompany.com.

Cette propriété est nécessaire.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Indique le nom du domaine associé au service cible.

Cette propriété est facultative pour un domaine Kerberos unique. Si la propriété targetServiceRealm n'est pas spécifiée, le nom de domaine par
défaut du fichier de configuration Kerberos est utilisé comme nom de domaine. Dans un environnement Kerberos inter-domaines ou de confiance, vous devez
spécifier une valeur pour la propriété targetServiceRealm.

Pour le générateur de jetons, la combinaison du nom du service cible et du nom d'hôte cible forme le SPN (Service Principal Name), qui représente le nom principal de service Kerberos cible. Le client Kerberos demande le jeton Kerberos AP_REQ initial pour le SPN.

Si une application crée ou consomme un jeton AP_REQ Kerberos V5 pour chaque message de demande des services Web, affectez à la propriété personnalisée com.ibm.wsspi.wssecurity.kerberos.attach.apreq la valeur true dans le créateur de jeton et les liaisons du consommateur de jeton pour cette application. Pour plus d'informations, reportez-vous à la rubrique des conseils de résolution des incidents de sécurité des services Web.

Propriétés personnalisées – Valeur

Valeur de la propriété personnalisée. Utilisez la zone Valeur pour entrer, modifier ou supprimer la valeur d'une propriété personnalisée.

Gestionnaire d'appel

Lorsque toutes les autres configurations de la page du jeton de protection ont été appliquées ou sauvegardées, cette section s'affiche et fournit un lien vers les paramètres de configuration pour le gestionnaire d'appel. Cliquez sur ce lien pour indiquer les paramètres du gestionnaire d'appel et déterminer le mode d'acquisition des jetons de sécurité à partir des en-têtes des message.

Tolérance du jeton de conversation sécurisée V200502

Le type de jeton de conversation sécurisée V200502 pour la règle WS-Security représente les exigences d'un jeton de conversation sécurisée comme défini dans la spécification WS-SecureConversation de février 2005. Cette option indique si le fournisseur gère le jeton de conversation sécurisée V1.3 et le jeton de conversation sécurisée V200502. Par défaut, le fournisseur gère les deux versions. Vous pouvez modifier ce comportement en cliquant sur la case à cocher pour désélectionner l'option afin que le fournisseur ne gère que le jeton V1.3.

Remarque : Cette case à cocher ne s'affiche que dans le panneau du consommateur de jetons du fournisseur de services.
Type de données Case à cocher
Intervalle Cochée ou décochée.
Valeur par défaut Sélectionné



Les liens marqués (en ligne) requièrent un accès à Internet.

Tâches associées
Référence associée
Paramètres du gestionnaire d'appel
Collection d'ensembles de règles de l'application
Paramètres des ensembles de règles de l'application
Recherche de collections d'applications associées
Paramètres des liaisons des ensembles de règles


Nom du fichier : uwbs_wsspsbpt.html