Création d'un profil de sécurité pour WS-Trust V1.3 (TFIM V6.2)

Vous pouvez créer un profil de sécurité pour un service STS (Security Token Service) compatible WS-Trust V1.3 , par exemple, Tivoli® Federated Identity Manager (TFIM) V6.2, pour n'importe quelle combinaison des opérations de sécurité suivantes: authentification, autorisation et mappage.

Création d'un profil

A propos de cette tâche

Pour créer un profil de sécurité qui utilise un STS conforme à WS-Trust V1.3, définissez le paramètre de configuration d'une politique de profils de sécurité sur l'adresse complète URL du STS. Le site URL doit comprendre le schéma de transport, le nom d'hôte, le port et le chemin d'accès. Pour le TFIM V6.2 WS-Trust V1.3 endpoint, le chemin est /TrustServerWST13/services/RequestSecurityToken. Par exemple :
http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken

Procédure

  1. Créez une stratégie et sélectionnez le type de stratégie « Profils de sécurité » (voir Création de stratégies à l'aide de l'outil « IBM App Connect Enterprise »).
  2. Définissez la propriété Mappage sur WS-Trust v1.3 STS.
  3. Définir la propriété de configuration Mapping à l'adresse complète URL du STS.

    Pour indiquer que vous souhaitez que le gestionnaire de sécurité rejette un nom d'utilisateur lors de l'authentification si le nom d'utilisateur comporte un jeton de mot de passe vide, définissez rejectBlankpassword sur TRUE. La valeur par défaut est FALSE, ce qui signifie qu'un nom d'utilisateur est authentifié auprès du serveur WS-Trust même s'il possède un jeton de mot de passe vide.

    Pour spécifier le mode d'affichage du mot de passe dans le dossier des propriétés, définissez passwordValue sur l'une des valeurs suivantes:
    PLAIN
    Le mot de passe s'affiche dans le dossier Propriétés sous forme de texte en clair.
    Brouiller
    Le mot de passe s'affiche dans le dossier Propriétés en tant que codage base64 .
    Masque
    Le mot de passe s'affiche dans le dossier Propriétés sous la forme de quatre astérisques (****).

    Si l' URL e spécifie une adresse commençant par https://, une connexion sécurisée via le protocole SSL est utilisée pour les requêtes adressées au serveur WS-Trust v1.3.

    Outre la spécification du profil de sécurité URL en tant qu'adresse commençant par https://, vous pouvez configurer les paramètres avancés suivants en définissant les variables d'environnement du nœud d'intégration :
    MQSI_STS_SSL_PROTOCOLE
    La version du protocole « SSL » à utiliser. Les valeurs valides sont :
    • SSL
    • SSLv3
      Remarque : la fonctionnalité « SSLv3 » est désactivée par défaut sur IBM App Connect Enterprise 13.0, car SSLv3 n'est plus considéré comme sécurisé. Pour plus d'informations, consultez la section « Migration d'un flux utilisant l' SSLv3 ».
    • TLS
    La valeur initiale est TLS.
    MQSI_STS_SSL_ALLEZ_CIPHERS
    Liste séparée par des espaces des chiffrements de chiffrement pouvant être utilisés. Pour obtenir la liste de toutes les suites de chiffrement prises en charge par IBM App Connect Enterprise, consultez les informations sur le produit Java™ correspondant à votre système d'exploitation. Pour les systèmes d'exploitation utilisant Java d' IBM, consultez l'annexe A du guide « IBM » ( JSSE2 ) : http://www.ibm.com/developerworks/java/jdk/security/60/secguides/jsse2Docs/JSSE2RefGuide.html
    MQSI_STS_REQUEST_TIMEOUT
    Délai d'attente de la demande STS, en secondes. La valeur initiale est 100. Pour plus d'informations sur la fourniture de variables d'environnement au noeud d'intégration, voir Configuration d'un environnement de commande.
    MQSI_STS_REQUEST_ONBEHALFOF
    Si vous définissez cette variable d'environnement sur enabled, les demandes WS-trust incluent la zone facultative wst:OnBehalfOf. Cette zone est obligatoire lorsque le serveur STS est sécurisé et qu'il a besoin de données d'identification/de jetons d'authentification avant de traiter la demande.

    Si WS-Trust v1.3 STS est sélectionné pour plusieurs opérations (par exemple, pour l'authentification et le mappage), le serveur WS-Trust v1.3 URL doit être identique pour toutes les opérations et n'est donc spécifié qu'une seule fois.