Interface eIAM-WSG


L'interface WS-Federation supporte l'intégration d'applications web basées sur le standard WS-Federation. L'eIAM-Web PEP propose des interfaces définies pour ce protocole de fédération. Elle crée un jeton de sécurité au format SAML à l'attention de l'application demandeuse et le lui transmet. Le protocole WS-Federation est utilisé à cet effet.
Aperçu de la solution eIAM-WSG, communication
Aperçu de la solution eIAM-WSG, communication


Le scénario démarre avec un Service Consumer qui souhaite appeler un service web. La demande est d'abord acheminée par le Load Balancer (1). Celui-ci authentifie le Service Consumer selon son certificat. Une fois l'authentification réussie, le Load Service Balancer transmet la demande à la passerelle de services web (2). Le WSG extrait du certificat certificat le distinguished name (DN). Pour ce DN, le WSG demande au Trust Broker de lui fournir un nom de domaine. délivre un token de sécurité SAML (SAML 2.0). Cela se fait au moyen d'une demande de WS Trust demande de token de sécurité (3, 4, 5). Le token de sécurité SAML décrit les rôles d'accès du consommateur de service.

Le Web Service Gateway vérifie la validité du token de sécurité (6) et autorise l'accès à l'utilisateur. au fournisseur de services (7, autorisation générale) sur la base des rôles contenus dans le token de sécurité. les rôles contenus dans le certificat. Si l'accès est autorisé, le WSG transmet la demande avec le token de sécurité (8) (propagation de l'identité) au fournisseur de services. Celui-ci exécute, si nécessaire Si nécessaire, il procède à une autorisation finement granulaire du consommateur de services à l'aide des rôles contenus dans le token consommateur (9).

Grâce aux outils d'administration mis à disposition par eIAM, le client est en mesure de d'utiliser les différentes politiques d'accès (rôles à granularité fine) également pour les Service Provider avec des services web. Toutes les autorisations pour son application peuvent être modifiées en un seul endroit (dans IDM). La flexibilité pour le client est est ainsi augmentée et les frais d'exploitation de la passerelle de services Web sont minimisés.

Équilibreur de charge
Un load balancer (LB) doit être configuré avant les WSG. La commande de ces LB, les enregistrements DNS et les certificats pour les LB et le WSG sont des tâches de l'intégration des services web.

Utilisateur technique
L'accès à une interface de service web via eIAM-WSG est réglé par l'autorisation d'utilisateurs techniques. Les utilisateurs techniques correspondants doivent être commandés au préalable auprès d'ICD - CIS & Directories. L'équipe crée un compte dans le point de référence des données, qui est provisionné dans eIAM et soumis à un cycle de vie réglementé. Dès que le compte est prêt, il est possible de demander à eIAM Operations, via le formulaire ci-dessous, la finalisation du techuser. Pour ce faire, il faut non seulement l'accord du DSIO de l'office concerné (un mail suffit), mais aussi un certificat de classe C de Swiss Government PKI, qui doit être obtenu au préalable par le demandeur.

Formulaire de commande pour la création d'un techuser pour eIAM-WSG

Certificats
L'authentification s'effectue au moyen d'un certificat X.509 de classe C (les classes D et E ne sont pas supportée) au nom de l'utilisateur technique utilisé pour établir la connexion. Un tel certificat doit être obtenu conformément aux directives de l'Admin PKI(voir à ce sujet Configuration SAML 2.0 (métadonnées) ).

Répartition des tâches projet / équipe d'intégration eIAM & WSG
Répartition des tâches projet / équipe d'intégration eIAM & WSG


Pour plus d'informations, veuillez vous référer au guide d'intégration eIAM-WSG: