Configuration de l'authentification des certificats X509

Utilisez les informations et procédures suivantes pour configurer l'authentification des certificats X509 pour Identity Manager.

Prérequis pour la configuration

Pour prendre en charge l'authentification basée sur les certificats X509 dans Identity Manager, assurez-vous que l'authentification SSL bidirectionnelle (client et serveur) est configurée correctement. Du point de vue du client, cela signifie qu'un certificat d'utilisateur conforme X509 doit avoir été importé dans le navigateur (ou être disponible par le biais d'un lecteur de cartes à puce) et que le certificat de confiance doit être importé dans le keystore de certificats de confiance du serveur d'application Web.

Par ailleurs, le certificat client utilisé doit être activé pour l'authentification client.

Pour vérifier que l'option authentification client du certificat client utilisé est sélectionnée

1. En utilisant Internet Explorer, sélectionnez Outils puis Options Internet.

2. Sélectionnez l’onglet Contenu.

3. Dans la zone Certificats, cliquez sur Certificats.

4. Sélectionnez le certificat client puis cliquez sur Avancé.

5. Dans la zone réservée au but du certificat, vérifiez que l'option Authentification client est sélectionnée.

Configuration de l'authentification basée sur les certificats X509 dans Identity Manager

Pour configurer l'authentification basée sur les certificats X509

1. Connectez-vous à l'interface administrateur en tant que Configurator (ou avec des permissions équivalentes).

2. Sélectionnez Configurer puis Connexion pour afficher la page Connexion.

3. Cliquez sur Gérer les groupes de modules de connexion pour afficher la page Groupes de modules de connexion.

4. Sélectionnez un groupe de modules de connexion dans la liste.

5. Sélectionnez Module de connexion Certification X509 Identity Manager dans la liste Assigner le module de connexion. Identity Manager affiche la page Modifier un module de connexion.

6. Définissez l'exigence de réussite de connexion.

   Les valeurs suivantes sont acceptables :

   • requis. Le module de connexion est requis pour la réussite de l'opération. Que l'opération réussisse ou non, l'authentification passe au module de connexion suivant de la liste. S'il n'y a pas d'autre module de connexion, l'ouverture de session administrateur réussit.

   • exigence. Le module de connexion est requis pour la réussite de l'opération. En cas de réussite, l'authentification passe au module de connexion suivant de la liste. Dans le cas contraire, l'authentification s'arrête.

   • suffisant. Le module de connexion n'est pas requis pour la réussite de l'opération. En cas de réussite, l'authentification ne passe pas au module de connexion suivant et l'administrateur est connecté. Dans le cas contraire, l'authentification passe au module de connexion suivant de la liste.

   • en option. Le module de connexion n'est pas requis pour la réussite de l'opération. Que l'opération réussisse ou non, l'authentification passe au module de connexion suivant de la liste.

7. Sélectionnez une règle de corrélation de connexion. Il peut s'agir indifféremment d'une règle intégrée ou d'une règle de corrélation personnalisée (pour toute information sur la création de règles de corrélation personnalisées, voir la section suivante).

8. Cliquez sur Enregistrer pour revenir à la page Modifier un groupe de modules de connexion.

9. En option, triez de nouveau les modules de connexion (si plus d'un module de connexion est assigné au groupe de modules de connexion) et cliquez sur Enregistrer.

10. Assignez le groupe de modules de connexion à une application de connexion s'il ne l'est pas déjà. Dans la page Groupes de modules de connexion, cliquez sur Revenir aux applications de connexion puis sélectionnez une application de connexion. Après avoir assigné un groupe de modules de connexion à l'application, cliquez sur Enregistrer.

    ---

    Remarque –

    Si l'option allowLoginWithNoPreexistingUser est définie sur la valeur true dans le fichier waveset.properties, vous serez invité lorsque vous configurerez le Module de connexion Certification X509Identity Manager à sélectionner une Règle de nom de nouvel utilisateur. Cette règle permettra de déterminer la façon dont seront nommés les nouveaux utilisateurs créés lorsqu'ils ne seront pas trouvés par la Règle de corrélation de connexion associée. La règle de nom de nouvel utilisateur a les mêmes arguments d'entrée disponibles que la Règle de corrélation de connexion. Elle retourne une unique chaîne constituée du nom d'utilisateur utilisé pour créer le nouveau compte utilisateur Identity Manager. Un exemple de règle de nom de nouvel utilisateur figure dans idm/sample/rules, sous le nom NewUserNameRules.xml.

    ---

Création et importation d'une règle de corrélation de connexion

Le Module de connexion Certification X509 d'Identity Manager utilise une règle de corrélation pour déterminer comment mapper les données de certificat vers l'utilisateur Identity Manager approprié. Identity Manager inclut une règle de corrélation intégrée, nommée Corréler via X509 Certificate SubjectDN.

Vous pouvez aussi ajouter vos propres règles de corrélation. À titre d'exemple, consultez LoginCorrelationRules.xml dans le répertoire idm/sample/rules.

Toute règle de corrélation doit respecter les directives suivantes :

• Son attribut authType doit être défini sur LoginCorrelationRule.

• Elle doit retourner une instance de liste d'AttributeConditions qui sera utilisée par le module de connexion pour rechercher l'utilisateur Identity Manager associé. Par exemple, la règle de corrélation peur retourner une AttributeCondition qui recherche l'utilisateur Identity Manager associé par son adresse e-mail.

Les arguments transmis aux règles de corrélation de connexion sont les suivants :

• les champs des certificats X509 standard (par exemple subjectDN, issuerDN et les dates de validité) ;

• les propriétés d'extensions critiques et non critiques.

La convention de nommage pour les arguments de certificat transmis à la règle de corrélation de connexion est :

cert.field name.subfield name

Voici quelques exemples de noms d'arguments disponibles pour la règle :

• cert.subjectDN,

• cert.issuerDN,

• cert.notValidAfter,

• cert.notValidBefore,

• cert.serialNumber.

La règle de corrélation de connexion, en utilisant les arguments transmis, retourne une liste de une ou plusieurs AttributeConditions. Celles-ci sont utilisées par le Module de connexion Certification X509Identity Manager pour trouver l'utilisateur Identity Manager associé.

Une exemple de règle de corrélation de connexion nommé LoginCorrelationRules.xml est inclus dans idm/sample/rules.

Après avoir créé une règle de corrélation personnalisée, vous devez l'importer dans Identity Manager. Depuis l'interface administrateur, sélectionnez Configurer puis Importer le fichier d’échange pour utiliser l'utilitaire d'importation de fichiers.

Test de la connexion SSL

Pour tester la connexion SSL, allez à l'URL de l'interface de l'application configurée en utilisant SSL (par exemple, https://idm007:7002/idm/user/login.jsp). Vous êtes averti que vous entrez dans un site sécurisé et êtes invité à préciser quel certificat personnel envoyer au serveur Web.

Diagnostic des problèmes

Signalez tous les problèmes liés à l'authentification utilisant des certificats X509 comme des messages d'erreur sur le formulaire de connexion.

Pour des diagnostics plus complets, activez le suivi sur le serveur Identity Manager pour les classes et niveaux suivants :

• com.waveset.session.SessionFactory 1,

• com.waveset.security.authn.WSX509CertLoginModule 1,

• com.waveset.security.authn.LoginModule 1.

Si l'attribut de certificat client n'est pas nommé javaxservlet.request.X509Certificate dans la requête HTTP, vous recevrez un message indiquant que cet attribut est introuvable dans la requête HTTP.

Pour corriger un nom d'attribut de certificat client dans une requête HTTP

1. Activez le suivi pour SessionFactory pour afficher la liste complète des attributs HTTP et déterminer le nom du certificat X509.

2. Utilisez l'utilitaire de débogage d'Identity Manager (Page de débogage d'Identity Manager) pour éditer l'objet LoginConfig.

3. Remplacez le nom de <AuthnProperty> dans <LoginConfigEntry> pour le Module de connexion Certification X509 Identity Manager par le nom correct.

4. Enregistrez puis réessayez.

   Il est également possible que vous deviez supprimer puis ajouter de nouveau le Module de connexion Certification X509 Identity Manager dans l'application de connexion.