Sécurisation des applications compatibles avec la messagerie Web

Il existe deux différents aspects de configuration d'une application compatible avec la messagerie Web : la protection des URI entrants et la configuration de l'authentification du client, ainsi que l'autorisation d'accès au bus d'intégration de services.

Protection d'un URI de messagerie Web

En fonction du type d'application pour la messagerie Web que vous utilisez, si vous le souhaitez, vous pouvez limiter l'accès à un URI de messagerie Web. Vous pouvez assurer la protection des URI de messagerie Web, grâce à l'utilisation de méthodes standard relatives à la sécurité de l'application Web. Lorsqu'un URI de messagerie Web est protégé, la demande d'établissement de connexion Bayeux est authentifiée et autorisée à utiliser des méthodes standard de sécurité de l'application Web. Consultez la la rubrique suivante : Applications de la sécurisation pendant l'assemblage et le déploiement pour plus d'informations. Il paraît courant d'activer la sécurité de transport, lorsque la sécurité de l'application Web est activée. Le service de messagerie Web distribue des chaînes de transport du conteneur Web. Ainsi, lorsque vous activez le service de messagerie Web sur une chaîne de transport sécurisée, la sécurité en matière de communication, pour toutes les opérations du protocole Bayeux est assurée.

Authentification et autorisation d'accès au bus d'intégration de services

Lors de la configuration d'une application compatible avec la messagerie Web, le système de sécurité étant activé, il se révèle important de comprendre que les exigences en matière de sécurité doivent être étendues vers les interactions au niveau du bus d'intégration de services (à moins qu'une raison particulière ne s'y oppose). Lorsque vous planifiez votre modèle de sécurité, vous devez prendre en considération chacun des aspects de sécurité relative au bus d'intégration de services, décrits ci-après. Consultez la rubrique suivante : Initiation à la sécurité relative à l'intégration de services pour plus d'informations. Lorsque les clients de la messagerie Web se connectent à un bus d'intégration de services sécurisé, chaque client doit être authentifié et autorisé afin de pouvoir accéder aux ressources relatives au bus d'intégration de services.

Un client de la messagerie Web doit fournir des justificatifs afin de s'authentifier auprès d'un bus d'intégration de services sécurisé. Il existe deux options relatives aux méthodes de procuration de justificatifs : alias d'authentification J2C (Java 2 Connector) ou justificatifs Web. La meilleure méthode à utiliser dépend des besoins de l'application. Les options de configuration authType et authAlias de la messagerie Web définissent le type d'authentification à utiliser. Reportez-vous à la rubrique Configuration de bus d'intégration de services pour des informations détaillées relatives à la configuration.

Alias d'authentification J2C

Un alias d'authentification J2C constitue une méthode permettant aux clients de la messagerie Web de s'authentifier auprès du bus d'intégration de services. Un alias d'authentification doit être utilisé dans les situations suivantes :

  • La sécurité Web est désactivée et la sécurité de bus activée. Afin de permettre aux clients de la messagerie Web d'accéder au bus d'intégration de services, la seule solution possible repose sur la spécification d'un alias d'authentification.
  • Tous les clients de la messagerie Web entrant en tant que simple URI peuvent disposer du même espace de rubrique relatif au bus d'intégration de services ainsi que des autorisations de rubrique. Dans ce cas, il paraît plus facile de gérer des droits d'accès pour une simple instance d'authentification que de gérer des droits d'accès pour chaque utilisateur Web authentifié.
Justificatifs Web Lorsque la sécurité Web est activée, les justificatifs Web peuvent être utilisés en tant qu'informations d'authentification, afin de se connecter à un bus d'intégration de services sécurisé. L'authentification de base ainsi que l'authentification LTPA à signature unique sur les cookies,constituent les deux types de justificatifs Web pris en charge. Vous devez définir votre fichier de configuration de messagerie Web afin de pouvoir utiliser un authType de type basique ou à signature unique, dans les conditions suivantes :
  • La sécurité Web est activée. L'authentification de base ainsi que les informations relatives aux cookies LTPA doivent être lisibles dans les demandes HTTP. Si ces informations ne sont pas disponibles, l'accès à un bus d'intégration de services sécurisé échoue. La possibilité de lecture des justificatifs Web est limitée lorsqu'un intercepteur de relation de confiance est en cours d'utilisation. Dans ce cas, vous ne devez utiliser que l'alias d'authentification J2C.
  • Un espace de rubrique de l'utilisateur de messagerie Web à granularité fine ou des autorisations de rubrique s'avèrent nécessaires. Dans ce cas, vous devez suivre les étapes d'autorisation ci-après afin de permettre à l'utilisateur ou au groupe d'utilisateurs d'accéder aux ressources relatives au bus d'intégration de services.

   

Le bus d'intégration de services fournit un ensemble de contrôles de sécurité permettant de valider l'autorisation sous forme de granularités variées. Les niveaux d'autorisation suivants doivent être adaptés à n'importe quelles données d'authentification spécifiées.

Autorisation d'accès au connecteur de bus Le premier niveau d'autorisation permettant l'accès au bus d'intégration de services, repose dans la possibilité de se connecter au bus ou dans l'autorisation d'accès au connecteur de bus. Comme c'est le cas pour les autres autorisations, il s'avère possible d'accorder cet accès aux utilisateurs individuels ou à un groupe d'utilisateurs. Les détails relatifs à la configuration d'autorisation concernant le rôle du connecteur de bus, sont disponibles dans la rubrique Administration des rôles de connecteur de bus.
Sécurité (de destination) de l'espace de rubrique Une fois que l'autorisation d'accès d'une application au connecteur de bus a été vérifiée, l'étape suivante à suivre consiste à accéder à une destination. Dans le cas des applications Bayeux, cette étape va devenir la(les) destination(s) d'espace de rubrique spécifiée dans la configuration relative à Bayeux ou par le nom de canal.

Chaque destination comprend un ensemble de rôles individuels qui lui correspond et qui vérifie le type exact d'action pouvant être mené par une application spécifique ou un utilisateur. Pour les applications Bayeux, voici les rôles les mieux adaptés : celui du récepteur permettant à l'application de créer des abonnements et de recevoir des événements, ainsi que celui de l'expéditeur qui consiste à publier des événements vers l'espace de rubrique. Pour obtenir des informations détaillées sur la configuration de ces rôles d'autorisation relatifs à un espace de rubrique donné, reportez-vous à la rubrique relative à la sécurité de destination.

Sécurité de la rubrique Vous pouvez également configurer des contrôles d'accès à granularité fine sur des rubriques individuelles ou des groupes de rubriques, à l'aide d'un espace de rubrique. Cela signifie qu'une application peut se trouver dans l'incapacité de voir les événements publiés sur d'autres rubriques, par une application différente (même si ces événements sont publiés dans le même espace de rubrique).

Pour obtenir des informations détaillées relatives à la configuration du niveau de sécurité de la rubrique, reportez-vous aux rubriques suivantes :



Conditions d'utilisation | Commentaires