Extension SSO Java. Cette note technique décrit la configuration et la mise en œuvre du filtre de custom SSO Java.

Transcription

1 Note technique W4 Engine Extension SSO Java Cette note technique décrit la configuration et la mise en œuvre du filtre de custom SSO Java. 1 Présentation 3 2 Custom SSO Java 4 3 Bilan 10 Sommaire Référence : W4TN_JAVA_SSO_002_FR

2 Note technique W4 Engine W4. Tous droits réservés. L'acquisition du présent document confère un droit d'utilisation incessible, non exclusif et personnel et non un droit de propriété. L'utilisation, la copie, la reproduction et la distribution du présent document sont permises à condition : 1. que la mention de droits d'auteur ci-dessus figure sur toutes les copies et que cette mention de droits d'auteur et la présente mention d'autorisation apparaissent conjointement ; 2. que le présent document ne soit utilisé qu'à des fins d'information et non commerciales ; 3. que le présent document ne soit modifié de quelque manière que ce soit. Tous les produits et marques cités sont la propriété de leurs titulaires respectifs. Les informations contenues dans ce document pourront faire l objet de modifications sans préavis.

3 1 Présentation La servlet W4 offre un mécanisme d authentification SSO basé sur une architecture incluant un reverse proxy. En effet, la servlet W4 tire les informations nécessaires à l authentification au moteur W4 Engine de l en-tête http de la requête. Afin d offrir la même souplesse et les mêmes fonctionnalités que celles présentées dans le mode Custom SSO.NET, un mode SSO adaptable a été également développé en Java. Il a été basé sur les filtres J2EE avec pour objectif de respecter les normes en vigueur et d exploiter toutes les possibilités offertes par les serveurs d application J2EE. 3 NOTE TECHNIQUE Présentation

4 2 Custom SSO Java 2.1 Quels besoins? La fonction première d un mode SSO adaptable est de permettre de gérer une authentification contre un type de base utilisateur non géré nativement par W4 Engine. Par exemple contre un SGBD ou un type d annuaire non standard. En effet l appel à une fonction «métier» permet à un développeur de choisir sa manière de fournir à W4 Engine un nom d utilisateur valide. L utilisation d un filtre J2EE permet également à l administrateur ne disposant pas de reverse proxy, mais seulement d un serveur d application compatible J2EE de tirer parti du mode SSO de la servlet W Le filtre TWFcustomSSOFilter La norme J2EE propose une fonctionnalité intéressante dans ce cas : les filtres. Il s agit de classes Java appelées automatiquement par le serveur d application lorsque se produisent les actions définies par l administrateur. Typiquement, il est possible d imposer à chaque requête destinée à une servlet Java le passage par un filtre destiné à la contrôler ou à l enrichir. C est le procédé employé ici par W4. Ainsi l API Java W4, en plus de contenir la servlet Java W4, offre également une base de filtre nommée TWFcustomSSOFilter. Il s agit d un filtre conçu pour travailler sur des requêtes destinées à la servlet W4, pour les comprendre et les simplifier, avant finalement de les soumettre à une classe «métier» aisée à développer permettant d effectuer tout traitement jugé adéquat. Le filtre gère toutes les requêtes destinées à la servlet W4, qu elles soient cryptées ou non. Ce filtre permet de spécifier à la servlet W4 un nom d acteur W4 qui sera employé lors de l authentification SSO. Il doit donc s agir d un utilisateur valide dans la base utilisateur de W4 Engine. Une fonctionnalité optionnelle a en outre été ajoutée : la gestion transparente des expirations de session. Une fois activées, toutes les requêtes destinées à la servlet W4 seront enrichies afin de ré-authentifier automatiquement l acteur spécifié en cas d expiration de session. Une fois toutes les modifications nécessaires apportées à la requête, cette dernière poursuit son chemin jusqu à la servlet W4 pour traitement. Le filtre TWFcustomSSOFilter gère parfaitement le chaînage de filtres. W4 BPM Suite NOTE TECHNIQUE 4

5 2.3 Mise en œuvre : configuration Paramètres Il n est pas nécessaire de déployer une autre librairie afin de profiter des fonctionnalités du filtre TWFcustomSSOFilter ; il est inclus dans la librairie Java W4. Afin d être activée, une section doit déclarer l utilisation de ce filtre et son champ d action dans le fichier web.xml de l application souhaitant l activer : <!-- ===== W4 Custom SSO Filter --> <filter> <filter-name>custom SSO Filter</filter-name> <filter-class> fr.w4.http.twfcustomssofilter </filter-class> <!-- Name of the custom class implementing TWFcustomSSOFilterAction --> <! interface --> <init-param> <param-name>twfcustomssofilter.class.name</param-name> <param-value>mycustomsso</param-value> </init-param> <!-- Activates the auto-login facility (session never expires) for all --> <! request --> <init-param> <param-name>twfcustomssofilter.auto.login<</param-name> <param-value>true</param-value> </init-param> </filter> <!-- Enable SSO mode for W4Servlet and W4 custom SSO filter --> < init-param > <param-name>sso.enabled</param-name> <param-value>true</param-value> </init-param > <!-- Name of the header field containing the W4 actor name for SSO --> <!-- authentication. Used by W4Servlet and W4 custom SSO filter --> < init-param > <param-name>sso.httpfieldname</param-name> <param-value>ssologin</param-value> </init-param > </filter> <!-- W4 Custom SSO Filter mapping --> <filter-mapping> <filter-name>custom SSO Filter</filter-name> <servlet-name>fr.w4.http.w4servlet</servlet-name> </filter-mapping> 5 NOTE TECHNIQUE Custom SSO Java

6 La section <filter> déclare le filtre et positionne les paramètres suivants : TWFcustomSSOFilter.class.name qui représente le nom complet de la classe Java à laquelle le filtre délèguera l interprétation des données de la requête et l application des règles nécessaires au choix d un acteur W4. Il s agit là typiquement d une classe développée sur mesure pour le client. TWFcustomSSOFilter.auto.login qui permet d activer ou non un mode de reconnexion automatique à chaque requête, et ce de manière transparente même en cas d expiration de session. En pratique, cela consiste en l ajout à chaque requête d un paramètre inv1=session.login et au décalage de toutes les invocations en conséquence. SSO.enabled qui active le mode SSO W4. * SSO.httpFieldName qui définit le nom du champ header de l en-tête http. * La section <filter-mapping> définit le champ d action du filtre. Ici, il sera appelé lors de chaque appel de la servlet W4. Une fois ces deux sections positionnées, toutes les requêtes à destination de la servlet W4 passeront par le filtre. Paramètres obligatoires : TWFcustomSSOFilter.class.name SSO.enabled SSO.httpFieldName Paramètres optionnels : TWFcustomSSOFilter.auto.login Attention! * Ce paramètre est reconnu et utilisé à la fois par la servlet W4 et par le filtre custom SSO Java. Hiérarchie des paramètres Une hiérarchie dans la récupération des paramètres présentés ci-dessus est gérée par la servlet W4 et par le filtre custom SSO. Il est en effet possible d avoir 3 types de définition d un paramètre : 1. Au niveau «racine» du fichier web.xml sous la forme suivante <web-app> <context-param> <param-name>sso.httpfieldname</param-name> <param-value>ssologin</param-value> </context-param> </web-app> W4 BPM Suite NOTE TECHNIQUE 6

7 2. Au niveau de la définition des paramètres propres à une servlet <web-app> <servlet> <servlet-name>fr.w4.http.w4servlet</servlet-name> <servlet-class>fr.w4.http.w4servlet</servlet-class> <init-param> <param-name>sso.httpfieldname</param-name> <param-value>ssologin</param-value> </init-param> </servlet> </web-app> 3. Au niveau de la définition des paramètres propres à un filtre <web-app> <filter> <filter-name>custom SSO Filter</filter-name> <filter-class> fr.w4.http.twfcustomssofilter </filter-class> <init-param> <param-name>sso.httpfieldname</param-name> <param-value>ssologin</param-value> </init-param> </filter> </web-app> 7 NOTE TECHNIQUE Custom SSO Java

8 Ainsi, la recherche d un paramètre pour un filtre W4 se fera d abord dans les paramètres propres à ce filtre (cas 3), puis, si rien n y est trouvé, dans les paramètres du niveau «racine» (cas 1). De la même manière, la recherche d un paramètre pour une servlet W4 se fera d abord dans les paramètres propres à cette servlet (cas 2), puis, si rien n y est trouvé, dans les paramètres du niveau «racine» (cas 1). Conseil Lors de l utilisation du filtre custom SSO W4, il est préférable de placer la configuration des paramètres communs (SSO.enabled et SSO.httpFieldName) au niveau «racine» (cas 1) uniquement afin de les centraliser. 2.4 Conception de la classe de contrôle Comme expliqué ci-dessus, le filtre TWFcustomSSOFilter est un socle, qui délègue le travail d application de règles à la requête afin de fournir un nom d acteur W4 valide, à une classe de contrôle conçue sur mesure. Il s agit là d une simple classe Java qui doit répondre à l exigence d implémenter l interface TWFcustomSSOFilterAction. Ceci contraint à l écriture d une unique méthode : getactorname(). Cette méthode retourne une chaîne. Cette chaîne sera considérée comme un nom d acteur W4 valide et insérée dans la requête sous forme de header http afin d être récupérée et utilisée par la servlet W4. Cette méthode reçoit en outre en paramètre un certain nombre d informations permettant d identifier précisément les ordres destinés à être exécutés par la servlet W4. Il est enfin possible d ajouter des paramètres ou des ordres W4 à la requête. Classe MyCustomSSO, exemple de classe de contrôle import javax.servlet.*; import fr.w4.http.*; import fr.w4.marshal.*; import fr.w4.session.*; import fr.w4.utils.log.*; import fr.w4.buildtime.dynamic.*; import fr.w4.buildtime.ref.*; public class MyCustomSSO implements TWFcustomSSOFilterAction public String getactorname(twfservletrequest wfrequest, TWFsessionContext sessioncontext, ServletRequest request, ServletResponse response, FilterConfig filterconfig, FilterChain chain) throws TWFbypassFilterException String actorname; TWFlog.log("Running custom rule."); W4 BPM Suite NOTE TECHNIQUE 8

9 // Open W4Engine connection using context contained in the http request TWFsession w4session = null; try w4session = TWFsessionFactory.createSession(sessionContext); w4session.openconnection(); // Get here some data from W4Engine if needed catch(numberformatexception e) TWFlog.log("No session found. First call to servlet?"); catch(exception e) TWFlog.log(e); finally if (w4session!= null) try w4session.closeconnection(); catch (Exception e) TWFlog.log(e); // Get here some data from external user database if needed // Return a valid W4 actor actorname="w4fr1"; return actorname; 9 NOTE TECHNIQUE Custom SSO Java

10 3 Bilan Avec le filtre custom SSO, il est dorénavant possible de profiter des fonctionnalités d authentification trustée de la servlet W4 sans posséder d infrastructure de type reverse proxy. Le concept de classe de contrôle permet en outre d être capable de gérer une authentification contre n importe quel type de base utilisateur pour peu qu elle soit interrogeable via Java ou l un de ses innombrables modules. W4 BPM Suite NOTE TECHNIQUE 10

11 Note technique W4 Engine Pour toute remarque ou suggestion concernant ce document, vous pouvez contacter le support technique W4, en précisant la référence W4TN_JAVA_SSO_002_FR : par le service de traitement des dossiers Supportflow sur MyW4.com, à l adresse suivante : par courrier électronique : [email protected] par téléphone : 33 (0)