Paramètres de configuration du gestionnaire d'appel

Cette page permet d'indiquer comment acquérir le jeton de sécurité inséré dans l'en-tête de sécurité des services Web à l'intérieur du message SOAP. L'acquisition de jeton est une structure connectable qui tire parti de l'interface javax.security.auth.callback.CallbackHandler JAAS (Java Authentication and Authorization Service) pour l'acquisition du jeton de sécurité.

Pour afficher cette page de la console d'administration concernant le gestionnaire d'appel au niveau de la cellule, procédez comme suit :
  1. Cliquez sur Sécurité > Module d'exécution de sécurité JAX-WS et JAX-RPC .
  2. Dans la section Liaisons de générateur par défaut JAX-RPC, cliquez sur Générateurs de jeton> nom_générateur_jetons.
  3. Dans la section Propriétés supplémentaires, cliquez sur Gestionnaire de rappels.
Pour afficher cette page de la console d'administration concernant le gestionnaire d'appel au niveau du serveur, procédez comme suit :
  1. Cliquez sur Serveurs > Types de serveurs > Serveurs d'applications WebSphere > nom_serveur.
  2. Sous Sécurité, cliquez sur Exécution de la sécurité JAX-WS et JAX-RPC.
    Environnement de version mixte : Dans une cellule de noeud mixte avec un serveur utilisant WebSphere Application Server version 6.1 ou une version précédente, cliquez sur Liaisons par défaut pour la sécurité des services Web.mixv
  3. Dans la section Liaisons de générateur par défaut JAX-RPC, cliquez sur Générateurs de jeton > nom_générateur_jetons.
  4. Dans la section Propriétés supplémentaires, cliquez sur Gestionnaire de rappels.
Pour afficher cette page de la console d'administration concernant le gestionnaire d'appel au niveau de l'application, procédez comme suit :
  1. Cliquez sur Applications > Types d'application > Applications d'entreprise WebSphere > nom_application..
  2. Sous Modules, cliquez sur Gestion des Modules > nom_URI.
  3. Sous Propriétés de la sécurité des services Web, vous pouvez accéder aux informations du gestionnaire de rappels pour les liaisons suivantes :
    • Pour la liaison du générateur de demande (émetteur), cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées. Dans la section Propriétés supplémentaires, cliquez sur Générateurs de jetons. Cliquez sur Nouveau pour créer une configuration de générateur de jeton ou cliquez sur une configuration existante pour modifier ses paramètres. Dans la section Propriétés supplémentaires, cliquez sur Gestionnaire de rappels.
    • Pour la liaison du générateur de réponse (émetteur), cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées. Dans la section Propriétés supplémentaires, cliquez sur Générateurs de jetons. Cliquez sur Nouveau pour créer une configuration de générateur de jeton ou cliquez sur une configuration existante pour modifier ses paramètres. Dans la section Propriétés supplémentaires, cliquez sur Gestionnaire de rappels.
le nom de la classe du gestionnaire de rappel, [Version 6 only]

Indique le nom de la classe d'implémentation du gestionnaire d'appel utilisée pour connecter une structure de jeton de sécurité.

La classe du gestionnaire d'appel spécifiée doit implémenter la classe javax.security.auth.callback.CallbackHandler. L'implémentation de l'interface JAAS javax.security.auth.callback.CallbackHandler doit fournir un constructeur en utilisant la syntaxe suivante :
MyCallbackHandler(String nom d'utilisateur, char[] mot de
passe, 
    java.util.Map propriétés)
Où :
nom_utilisateur
Indique le nom d'utilisateur transmis dans la configuration.
mot de passe
Indique le mot de passe transmis dans la configuration.
propriétés
Indique les autres propriétés de configuration transmises dans la configuration.
Le serveur d'applications fournit les implémentations suivantes du gestionnaire d'appel :
com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler [Version 6 only]
Ce gestionnaire d'appel utilise une invite de connexion pour collecter les informations de nom d'utilisateur et de mot de passe. Cependant, si vous indiquez le nom d'utilisateur et le mot de passe dans ce panneau, aucune invite n'est affichée et le serveur d'applications renvoie le nom d'utilisateur et le mot de passe au générateur de jetons s'il est indiqué dans ce panneau. Utilisez cette implémentation pour un client d'application Java EE (Java Platform, Enterprise Edition) uniquement.
com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler [Version 6 only]
Ce gestionnaire d'appel n'affiche pas d'invite et renvoie le nom d'utilisateur et le mot de passe si ces derniers sont spécifiés dans ce panneau. Vous pouvez utiliser ce gestionnaire d'appel lorsque le service Web assure la fonction de client.
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler [Version 6 only]
Ce gestionnaire d'appel utilise une invite de connexion standard pour collecter le nom d'utilisateur et le mot de passe. Cependant, si le nom d'utilisateur et le mot de passe sont indiqués dans ce panneau, le serveur d'applications n'émet pas d'invite, mais renvoie le nom d'utilisateur et le mot de passe au générateur de jetons. Utilisez cette implémentation pour un client d'application Java EE (Java Platform, Enterprise Edition) uniquement.
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler [Version 6 only]
Ce gestionnaire d'appel utilise une invite de connexion standard pour collecter le nom d'utilisateur et le mot de passe. Cependant, si le nom d'utilisateur et le mot de passe sont indiqués dans ce panneau, le serveur d'applications n'émet pas d'invite, mais renvoie le nom d'utilisateur et le mot de passe au générateur de jetons. Utilisez cette implémentation pour un client d'application Java EE (Java Platform, Enterprise Edition) uniquement.
com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler [Version 6 only]
Ce gestionnaire d'appel sert à obtenir le jeton de sécurité LTPA (Lightweight Third Party Authentication) à partir du sujet d'appel RunAs. Ce jeton est inséré dans l'en-tête de sécurité des services Web du message SOAP en tant que jeton de sécurité binaire. Toutefois, si le nom d'utilisateur et le mot de passe sont indiqués dans ce panneau, le serveur d'applications les authentifie pour obtenir le jeton de sécurité LTPA au lieu de l'obtenir du sujet RunAs. Utilisez ce gestionnaire d'appel uniquement lorsque le service Web assure la fonction de client sur le serveur d'applications. Il est déconseillé d'utiliser ce gestionnaire d'appel sur un client d'application Java EE.
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler [Version 6 only]
Ce gestionnaire d'appel permet de créer le certificat X.509 inséré dans l'en-tête WS-Security au sein du message SOAP sous forme de jeton de sécurité. Un fichier de clés et une définition de clé sont requis pour ce gestionnaire d'appel.
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler [Version 6 only]
Ce gestionnaire d'appel permet de créer des certificats X.509 au format PKCS#7. Le certificat est inséré dans l'en-tête de sécurité des services Web du message SOAP en tant que jeton de sécurité binaire. Un fichier de clés est requis pour ce gestionnaire d'appel. Vous devez spécifier une liste de retrait de certificat (CRL) dans le magasin de certificats de collection. La liste CRL est chiffrée avec le certificat X.509 au format PKCS#7.
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler [Version 6 only]
Ce gestionnaire d'appel permet de créer des certificats X.509 au format PkiPath. Le certificat est inséré dans l'en-tête de sécurité des services Web du message SOAP en tant que jeton de sécurité binaire. Un fichier de clés est requis pour ce gestionnaire d'appel. La liste CRL n'est pas prise en charge par ce gestionnaire d'appel ; le magasin de certificats de collection n'est donc pas requis ni utilisé.

L'implémentation du gestionnaire d'appel obtient le jeton de sécurité requis et le transmet au générateur de jeton. Ce dernier insère le jeton de sécurité dans l'en-tête de sécurité des services Web du message SOAP. Le générateur de jeton représente également un point de connexion pour la structure de jeton de sécurité intégrable. Les fournisseurs de services peuvent fournir leur propre implémentation, à condition que celle-ci utilise l'interface com.ibm.websphere.wssecurity.wssapi.token.SecurityToken. L'implémentation du module de connexion JAAS (Java Authentication and Authorization Service) est utilisée pour créer le jeton de sécurité côté générateur et pour valider (authentifier) le jeton de sécurité côté destinataire.

Utiliser la vérification d'identité [Version 6 only]

Sélectionnez cette option si la vérification d'identité est définie dans le descripteur de déploiement étendu IBM.

Cette option indique que seule l'identité de l'émetteur initial est requise et insérée dans l'en-tête de sécurité des services Web du message SOAP. Par exemple, le serveur d'applications n'envoie que le nom d'utilisateur de l'appelant d'origine pour un générateur de jeton Username. Pour un générateur de jeton X.509, le serveur d'applications envoie uniquement la certification du signataire d'origine.

Utiliser l'identité RunAs [Version 6 only]

Sélectionnez cette option si la vérification d'identité est définie dans le descripteur de déploiement étendu IBM et que vous souhaitez utiliser l'identité RunAs plutôt que l'identité de l'appelant initial pour la vérification d'identité pour un appel en aval.

Cette option est valide uniquement si un générateur de jeton du nom d'utilisateur (Username TokenGenerator) est configuré en tant que générateur de jeton.

ID utilisateur d'authentification de base [Version 6 only]

Indique le nom d'utilisateur transmis aux constructeurs de l'implémentation du gestionnaire d'appel.

Le nom d'utilisateur et le mot de passe d'authentification de base sont utilisés si vous sélectionnez l'une des implémentations suivantes du gestionnaire d'appel par défaut fournies par ce produit :
  • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler

Ces implémentations sont décrites en détail dans la description de la zone Nom de la classe du gestionnaire de rappels présentée dans cet article.

Mot de passe d'authentification de base [Version 6 only]

Indique le mot de passe transmis au constructeur du gestionnaire d'appel.

Le fichier de clés et la configuration associée sont utilisés si vous sélectionnez l'une des implémentations suivantes du gestionnaire d'appel par défaut fournies par ce produit :
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
Le fichier de clés permet de générer le certificat X.509 avec le chemin d'accès au certificat.
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
Le fichier de clés permet de générer le certificat X.509 avec le chemin d'accès au certificat.
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
Le fichier de clés permet d'extraire le certificat X.509.
Nom de configuration du fichier de clés [Version 6 only]

Indique le nom de la configuration du fichier de clés définie dans les paramètres du fichier de clés dans les communications sécurisées.

Mot de passe du fichier de clés [Version 6 only]

Indique le mot de passe d'accès au fichier de clés.

Chemin du fichier de clés [Version 6 only]

Indique l'emplacement du fichier de clés.

Il est recommandé d'utiliser ${USER_INSTALL_ROOT} dans le nom du chemin car cette variable s'étend jusqu'au chemin du produit sur votre système. Pour modifier le chemin utilisé par cette variable, cliquez sur Environnement > Variables WebSphere et cliquez sur USER_INSTALL_ROOT.

Type de fichier de clés [Version 6 only]

Indique le type de format du fichier de clés.

Choisissez l'une des valeurs suivantes pour cette zone :
JKS
Utilisez cette option si le fichier de clés a le format JKS (Java Keystore).
JCEKS
Utilisez cette option si Java Cryptography Extension est configuré dans le kit SDK (Software Development Kit). Par défaut, l'extension IBM JCE est configurée dans le serveur d'applications. Cette option offre une protection plus efficace pour les clés privées mémorisées en faisant appel au chiffrement Triple DES.
JCERACFKS [z/OS]
Sélectionnez JCERACFKS si les certificats sont stockés dans un fichier de clés SAF (z/OS uniquement).
PKCS11KS (PKCS11)
Utilisez cette option si le fichier de clés utilise le format de fichier PKCS#11. Les fichiers de clés qui utilisent ce format peuvent contenir des clés RSA (Rivest Shamir Adleman) stockées sur du matériel de chiffrement, ou bien ils peuvent chiffrer des clés qui utilisent du matériel de ce type pour assurer la protection.
PKCS12KS (PKCS12)
Sélectionnez cette option si votre fichier de clés utilise le format de fichier PKCS#12.



Les liens marqués (en ligne) requièrent un accès à Internet.

Tâches associées
Référence associée
Collection du générateur de jeton
Paramètres de configuration du générateur de jeton


Nom du fichier : uwbs_callback.html