Activation de l'authentification CAC (Common Access Card)

Cette rubrique décrit comment configurer AppScan® Source afin d'autoriser une connexion à un serveur AppScan®Enterprise Server activé pour l'authentification CAC (Common Access Card).

Avant de commencer

L'authentification CAC n'est prise en charge que sous Windows. AppScan® Source prend en charge l'authentification CAC avec les certificats Subject Alternative Name - Multi-Domain (SAN).

Procédure

  1. Si vous utilisez une installation plus ancienne de AppScan® Source qui utilise SolidDB, effectuez d'abord les étapes suivantes. Si vous utilisez une installation plus récente avec une connexion au AppScan®Enterprise Server comme base de données, passez à l'étape 2.
    1. Assurez-vous qu'AppScan Enterprise Server n'est pas encore configuré pour l'authentification CAC.
    2. Connectez-vous à AppScan® Source for Analysis ou à l'AppScan® Source en tant qu'administrateur AppScan® Source.
    3. Suivez les instructions d'installation pour configurer tous les utilisateurs AppScan®Enterprise Server afin qu'ils disposent de tous les droits. Cette opération définit les droits par défaut initiaux pour les utilisateurs AppScan®Enterprise Server sur l'accès administrateur complet. Toutefois, à l'issue de la configuration de CAC, vous pourrez changer les droits par défaut en fonction des besoins de votre organisation.
    4. Quittez ou fermez toutes les applications client AppScan® Source.
  2. Configurez AppScan®Enterprise Server pour autoriser l'authentification CAC
  3. Ouvrez <data_dir>\config\ounce.ozsettings (où <data_dir> est l’emplacement de vos données de programme AppScan® Source, comme décrit dans Emplacements des fichiers de données utilisateur et des fichiers d'installation)). Dans ce fichier, repérez le paramètre suivant : 
    <Setting
		 name="client_cert_auth"
		 value="false"
		 default_value="false"
		 description="Uses client certificate authentication"
		 display_name="Uses client certificate authentication"
		 type="boolean"
		 read_only="true"
		 hidden="true"
	/>
  4. Dans ce paramètre, modifiez value="false" en value="true", puis enregistrez le fichier.
  5. Si vous vous connectez à AppScan®Enterprise Server à partir d'AppScan® Source for Analysis ou du AppScan® Plug-in Eclipse Source for Development :
    1. Dans votre répertoire d'installation Java, localisez jre/lib/security/java.security. Pour AppScan® Source for Analysis, le dossier jre se trouve dans votre répertoire d'installation AppScan® Source. Créez une copie de sauvegarde de ce fichier.
    2. Modifiez java.security.
    3. Dans la liste des fournisseurs incluant l'ordre de préférence, ajoutez com.ibm.security.capi.IBMCAC comme premier fournisseur de sécurité. Par exemple, si vous éditez java.security pour une utilisation AppScan® Source for Analysis, changez : 
      security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.2=com.ibm.jsse2.IBMJSSEProvider2
security.provider.3=com.ibm.crypto.provider.IBMJCE
security.provider.4=com.hcl.securitycert.IBMCertPath
security.provider.5=sun.security.provider.Sun

      en le remplaçant par :

      security.provider.1=com.ibm.security.capi.IBMCAC
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.hcl.securitycert.IBMCertPath
security.provider.6=sun.security.provider.Sun
    4. Enregistrez et fermez le fichier java.security.
  6. Si vous utilisez SolidDB comme base de données AppScan® Source :
    1. Connectez-vous en tant qu'administrateur AppScan® Source à AppScan® Source for Analysis.
    2. Changez les droits par défaut des utilisateurs AppScan®Enterprise Server pour qu'ils correspondent aux besoins de votre organisation.
      Si les autorisations utilisent une authentification basée sur SAN (Subject Alternative Name), assurez-vous d'utiliser le nom d'utilisateur correct du certificat lors de la connexion à AppScan® Source.

Que faire ensuite

Votre certificat ne peut pas être de type SHA-1 si vous souhaitez le mode de la norme FIPS (Federal Information Processing Standard).

Pour déterminer le type de certificat dont vous disposez, procédez comme suit :

  1. Ouvrez le gestionnaire de certificat Windows : dans le menu Démarrer de Windows, tapez certmgr.msc dans la zone de recherche et appuyez sur Entrée. Si vous êtes invité à entrer un mot de passe administrateur ou une confirmation, entrez le mot de passe ou confirmez.
  2. Ouvrez le certificat en cliquant deux fois dessous ou utilisez l'action Ouvrir de l'interface utilisateur.
  3. Sélectionnez l'onglet Détails du certificat.
  4. Localisez la zone Algorithme de hachage de la signature. La valeur de cette zone indique le type du certificat.