TAI Authentification de base HTTP

Le TAI (Trust Association Interceptor) Authentification de base HTTP permet d'authentifier les requêtes entrantes via le protocole HTTP Basic Authentication décrit dans RFC 2617. ce qui peut s'avérer utile pour les clients qui ne sont pas en mesure d'effectuer une authentification à base de formulaire HTTP.

En général, l'authentification de base HTTP a deux désavantages principaux par rapport à l'authentification à base de formulaire HTTP :
  • Avec l'authentification de base HTTP, le client Web envoie à IBM® WebSphere® Application Server les informations d'ID utilisateur et de mot de passe pour authentification avec chaque requête individuelle. Cette opération requiert une mise en oeuvre de la sécurité SSL sur la couche transport pour l'ensemble du trafic réseau lié au portail, afin d'éviter que le mot de passe ne soit exposé sur le réseau. En comparaison, quand vous vous servez de l'authentification à base de formulaire HTTP, la sécurité de la couche transport peut se limiter au flux de connexion utilisateur.
  • Avec l'authentification de base HTTP, le client Web envoie les données d'identification utilisateur avec chaque requête, ce qui fait que les utilisateurs ne peuvent se déconnecter du portail sauf en fermant le client Web. En effet, si un utilisateur se déconnecte du portail en laissant le navigateur ouvert, tout autre utilisateur est en mesure d'accéder aux pages visitées par le premier utilisateur.

Si le TAI Authentification de base HTTP est activé, il décide pour chaque requête entrante s'il est responsable ou non de son authentification, en recherchant dans les listes noires et blanches l'URL requise et en s'appuyant sur l'agent utilisateur du client. Le TAI se charge de l'authentification uniquement quand les conditions suivantes sont respectées : aucun format d'URL ne figure dans les listes noires et l'un des formats au moins se retrouve dans l'une des listes blanches. De ce fait, si le TAI est configuré avec des listes blanches vides, il n'authentifiera aucune requête.

Si le TAI décide d'authentifier une requête contenant un en-tête d'autorisation avec un ID utilisateur et un mot de passe, il essaie de se connecter avec ces données d'identification. Quand aucun ID utilisateur et mot de passe ne sont fournis, le TAI fait une demande au client selon RFC 2617.