Nouveautés de cette version

Cette version propose les nouvelles fonctions suivantes :

• Intégration de la structure de contrôle Java ES

• Sécurité des services Web

• Déploiement d'un fichier WAR unique Access Manager

• Améliorations apportées aux services de base

Intégration de la structure de contrôle Java ES

Access Manager 7.1 intègre la structure de contrôle Java Enterprise System par le biais de Java Management Extensions (JMX). La technologie JMX fournit des outils de mise en œuvre de solutions Web distribuées, dynamiques et modulaires permettant de gérer et contrôler des appareils, applications et réseaux dynamisés par les services. Exemples d'utilisations classiques de la technologie JMX : conseils et modification de la configuration de l'application, collecte de statistiques sur le comportement de l'application, notification de modifications d'état et comportements erronés. Les données sont transférées sur la console de contrôle centralisée.

Access Manager 7.1 utilise la structure de contrôle Java ES pour collecter des statistiques et des données de service, telles que :

• le nombre de tentatives d'authentifications, le nombre d'authentifications réussies et le nombre d'échecs d'authentification ;

• le nombre de sessions actives et les statistiques issues de la base de données de basculement de session ;

• les statistiques sur la base de données de basculement de session ;

• les statistiques de mise en cache des stratégies ;

• les temps de transaction pour l'évaluation des stratégies ;

• le nombre d'assertions d'un fournisseur donné dans un déploiement SAML/de fédération.

Sécurité des services Web

Access Manager 7.1 étend les capacités d'authentification aux services Web comme suit :

• affectation de jetons aux messages sortants ;

• évaluation des jetons de sécurité affectés aux messages entrants ;

• activation de la sélection par pointer-cliquer des fournisseurs d'authentification pour les nouvelles applications.

Déploiement d'un fichier WAR unique Access Manager

Access Manager comprend un fichier WAR unique permettant de déployer de façon cohérente les services Access Manager sur n'importe quel conteneur ou plate-forme pris en charge. Le fichier WAR d'Access Manager coexiste avec le programme d'installation Java Enterprise System qui déploie plusieurs fichiers JAR, XML, JSP, HTML, GIF et de propriétés.

Améliorations apportées aux services de base

Conteneurs Web pris en charge

• Sun Java System Web Server 7.0

• Sun Java System Application Server 8.2

• BEA WL 8.1 SP4

• IBM WebSphere 5.1.1.6

Intégration de la structure de contrôle

Access Manager peut utiliser la structure de contrôle JES pour contrôler les éléments suivants :

• Authentification

  • Nombre de tentatives d'authentification

  • Nombre de tentatives d'authentifications distantes (facultatif)

  • Nombre d'authentifications réussies

  • Nombre d'échecs d'authentification

  • Nombre d'opérations de déconnexion réussies

  • Nombre d'échecs d'opérations de déconnexion (facultatif)

  • Temps de transaction pour chaque module si possible (à l'état En cours d'exécution et En attente)

  • Échecs de connectivité pour les serveurs d'arrière-plan

• Sessions

  • Taille de la table des sessions (nombre maximal de sessions)

  • Nombre de sessions actives (compteur incrémentiel)

  • Basculement de session, notamment le nombre de sessions stockées, de sessions utilisant un compteur incrémentiel et d'opérations réalisées sur la base de données de basculement, notamment les opérations de lecture, écriture, suppression.

• Gestion des utilisateurs / Référentiel d'identité / Service de gestion de sessions

  • Taille de cache maximale

  • Statistiques relatives au cache telles que nombre d'occurrences, ratio, pointe, taille actuelle, etc.

  • Temps de transaction pour les opérations (à l'état En cours d'exécution et En attente)

• Stratégie

  • Nombre de stratégies en cache

  • Nombre de policyManagers en cache

  • Nombre de noms de services dans le cache policyListeners

  • Nombre de services dans le resultsCache

  • Nombre de tokenIDs dans sessionListernerRegistry

  • Nombre de noms de services dans policyListenerRegistry

  • Nombre de tokenIDs dans le cache role

  • Nombre de noms de services dans le cache resourceNames

  • Nombre d'entrées pour SubjectEvaluationCache

  • Nombre de PolicyEvaluators en cache

  • Nombre de listeners de modification de stratégie en cache

  • Temps de transaction pour le traitement de l'évaluation de la stratégie

• Fédération

  • Nombre d'artefacts dans le tableau pour un fournisseur donné

  • Nombre d'assertions dans le tableau pour un fournisseur donné

  • Nombre d'entrées de sessions dans un tableau pour un ID de fournisseur donné

• SAML

  • Taille du mappage d'artefact

  • Taille du mappage d'assertion

Module d'authentification

• Il n'est pas nécessaire que le service d'authentification distribuée s'associe à un seul serveur pour les déploiements à charges équilibrées.

• Il n'est pas nécessaire que le service d'authentification s'associe à un serveur pour les déploiements à charges équilibrées.

• Prise en charge de services composites, parmi lesquels le service d'authentification, les agents de stratégie et le service de stratégie. Comprend la condition AuthenticateToRealm, la condition AuthenticateToService et la qualification du domaine sur l'ensemble des conditions.

• Conseils sur l'organisation à l'aide de conditions d'authentification sur un domaine qualifié.

• Configurations d'authentification / chaînes d'authentification (AuthServiceCondition ).

• L'authentification modulaire peut maintenant être désactivée si le chaînage d'authentification est mis en œuvre.

• Le service d'authentification distribuée prend en charge le module d'authentification de certification.

• Ajout de CertAuth à l'interface d'authentification distribuée pour en faire une présentation d'extracteur d'informations d'identification complète.

• Le module d'authentification du nouveau magasin de données est un module prêt à l'emploi qui authentifie le magasin de données configuré pour un domaine donné.

• Configuration du verrouillage de compte désormais persistante sur plusieurs instances de serveurs AM.

• Chaînage de classes SPI de post-traitement.

Module de stratégie

• Prise en charge de la définition de stratégie en fonction de l'authentification de service.

• Ajout d'une nouvelle condition de stratégie : AuthenticateToRealmCondition.

• Prise en charge de la comparaison de caractères génériques de premier niveau permettant de faciliter la protection du contenu du répertoire sans protéger le sous-répertoire.

• Prise en charge de la condition de filtre LDAP. L'administrateur de stratégies peut spécifier un filtre LDAP comme condition lors de la définition d'une stratégie.

• Les stratégies peuvent être créées en sous-domaines sans stratégie de référence explicite, à partir d'un domaine parent si la référence de l'alias d'organisation est activée dans la configuration de stratégie globale.

• AuthLevelCondition peut spécifier le nom de domaine en plus du niveau d'authentification.

• AuthSchemeCondition peut spécifier le nom de domaine en plus de celui du module d'authentification.

Module de gestion des services

• Prise en charge du stockage de la configuration des stratégies/de la gestion des services dans Active Directory

Access Manager SDK

• Prise en charge d'API permettant l'authentification d'utilisateurs sur une base de données de structure de référentiel d'identités par défaut

Prise en charge des services Web

• Fournisseur Liberty ID-WSF SOAP : Fournisseur d'authentification qui encapsule la liaison Liberty ID-WSF SOAP telle qu'elle est mise en œuvre par Access Manager. Ce fournisseur se compose d'un fournisseur client et d'un fournisseur serveur.

• Fournisseur de connexion unique utilisant une couche HTTP : Fournisseur d'authentification utilisant une couche HttpServlet qui encapsule la connexion unique basée sur Access Manager côté serveur.

Module d'installation

• Reconditionnement d'Access Manager sous forme d'application J2EE résultant en un fichier WAR unique pour rendre son déploiement possible sur le Web

Module de délégation

• Prise en charge du groupement de privilèges de délégation

Journalisation

• Prise en charge de la délégation dans le module de journalisation : contrôle des identités disposant d'autorisations en écriture ou en lecture depuis les fichiers journaux.

• Prise en charge de SecureLogHelper basé sur JCE : permet d'utiliser JCE (en plus de JSS) en tant que fournisseur de sécurité pour la mise en œuvre d'une journalisation sécurisée