WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Implementando WS-Security

Configure a autenticação, criptografia XML, assinatura XML e expiração de mensagem utilizando o editor de Conjuntos de Políticas e de Ligações do Conjunto de Política.

Utilize o editor de Conjuntos de Políticas e de Ligações do Conjunto de Política no WebSphere Message Broker Explorer para configurar os seguintes aspectos de WS-Security:

Autenticação

Os seguintes tokens são suportados:
  • Username
  • X.509
  • Asserções da SAML
  • Bilhetes do Kerberos
  • Tokens binários LTPA
Configurando a autenticação com tokens de nome de usuário:
  1. No WebSphere Message Broker Explorer, clique com o botão direito do mouse no broker com o qual deseja trabalhar e clique em Propriedades.
  2. Na janela Propriedades, selecione a guia Segurança e clique em Conjuntos de Políticas.
  3. Crie um conjunto de políticas e inclua tokens de autenticação UserName nele (consulte Editor de Conjuntos de Políticas e Ligações de Conjunto de Política: Painel de Tokens de Autenticação).
  4. Configure ainda quaisquer tokens de autenticação X.509 definidos no conjunto de política associado; consulte Editor de Conjuntos de Políticas e Ligações de Conjunto de Política: Painel Tokens de Autenticação e Proteção.
  5. Configure um perfil de segurança; consulte Segurança do Fluxo de Mensagens e Perfis de Segurança.
  6. Associe o conjunto de política a um fluxo de mensagens ou nó; consulte Associando Conjuntos de Políticas e Ligações a Fluxos de Mensagens e Nós.
Configurando autenticação com tokens de X.509:
  1. Se estiver utilizadno armazenamento confiável do broker para suportar o certificado de armazenamento confiável, você deve configurá-lo. Consulte Visualizando e Configurando Propriedades do Tempo de Execução do Armazenamento de Chaves e do Armazenamento de Confiança em nível intermediário ou Visualizando e Configurando Propriedades do Tempo de Execução do Armazenamento de Chaves e do Armazenamento de Confiança em nível de grupo de execução dependendo onde deseja configura as propriedades de tempo de execução de keystore e de armazenamento confiável.
  2. Crie um conjunto de políticas e inclua tokes de autenticação UserName e X.509 nele (consulte Editor de Conjuntos de Políticas e Ligações de Conjunto de Política: Painel de Tokens de Autenticação).
  3. Configure o modo de certificado para o truststore do intermediário ou um provedor de segurança externo; consulte Editor de Conjuntos de Políticas e Ligações de Conjunto de Política: Painel Tokens de Autenticação e Proteção.
  4. Se estiver utilizando um provedor de segurança externo, configure um perfil de segurança; consulte Segurança do Fluxo de Mensagens e Perfis de Segurança.
  5. Associe o conjunto de política a um fluxo de mensagens ou nó; consulte Associando Conjuntos de Políticas e Ligações a Fluxos de Mensagens e Nós
Configurando a autenticação com asserções da SAML:
  1. No WebSphere Message Broker Explorer, clique com o botão direito do mouse no broker com o qual deseja trabalhar e clique em Propriedades.
  2. Na janela Propriedades, selecione a guia Segurança e clique em Conjuntos de Políticas.
  3. Crie um conjunto de políticas e inclua tokens da SAML 1.1 de passagem ou da SAML de passagem 2.0 nele (consulte Editor de Conjuntos de Políticas e Ligações de Conjunto de Política: Painel de Tokens de Autenticação). A SAML de passagem não força a confirmação de assunto, mas a asserção é simplesmente fornecida com um token a ser processado no Servidor de Tokens de Segurança externo especificado no perfil de segurança que estiver associado ao nó.
  4. Configure um perfil de segurança. O perfil de segurança deve ser configurdo para utilizar um STS WS-Trust v1.3. Para obter informações adicionais, consulte Segurança do Fluxo de Mensagens e Perfis de Segurança.
  5. Associe o conjunto de política a um fluxo de mensagens ou nó; consulte Associando Conjuntos de Políticas e Ligações a Fluxos de Mensagens e Nós.
Configurando a autenticação com bilhetes do Kerberos:
  1. No WebSphere Message Broker Explorer, clique com o botão direito do mouse no broker com o qual deseja trabalhar e clique em Propriedades.
  2. Na janela Propriedades, selecione a guia Segurança e clique em Conjuntos de Políticas.
  3. Crie um conjunto de políticas e inclua seu tipo de token do Kerberos como tokens simétricos (consulte Editor de Conjuntos de Políticas e Ligações de Conjuntos de Políticas: Painel de Proteção do Nível da Mensagem).
  4. Associe o conjunto de política a um fluxo de mensagens ou nó; consulte Associando Conjuntos de Políticas e Ligações a Fluxos de Mensagens e Nós.
  5. Configure o arquivo keytab do Kerberos do host. Para obter informações adicionais sobre a configuração do Kerberos, consulte a documentação para o sistema host do seu broker. Por exemplo, no Windows, consulte o "Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability", que você pode acessar em http://technet.microsoft.com/en-us/library/.
Configurando a autenticação com tokens binários LTPA:
  1. No WebSphere Message Broker Explorer, clique com o botão direito do mouse no broker com o qual deseja trabalhar e clique em Propriedades.
  2. Na janela Propriedades, selecione a guia Segurança e clique em Conjuntos de Políticas.
  3. Crie um conjunto de políticas e inclua nele tokens LTPA; consulteEditor de Conjuntos de Políticas e Ligações de Conjunto de Política: Painel de Tokens de Autenticação. O token binário LTPA é transmitido através do Servidor de Tokens de Segurança (STS) externo especificado no perfil de segurança que está associado com o nó.
  4. Configure um perfil de segurança. O perfil de segurança deve ser configurdo para utilizar um STS WS-Trust v1.3. Para obter informações adicionais, consulte Segurança do Fluxo de Mensagens e Perfis de Segurança.
  5. Associe o conjunto de política a um fluxo de mensagens ou nó; consulte Associando Conjuntos de Políticas e Ligações a Fluxos de Mensagens e Nós.

Confidencialidade

A confidencialidade é fornecida por criptografia XML e exige tokens de X.509 ou bilhetes Kerberos.

Configurando a criptografia XML com tokens de X.509:
  1. Se estiver utilizando o armazenamento confiável do broker para suportar o certificado de armazenamento confiável, você deve configurá-lo. Consulte Visualizando e Configurando Propriedades do Tempo de Execução do Armazenamento de Chaves e do Armazenamento de Confiança em nível intermediário ou Visualizando e Configurando Propriedades do Tempo de Execução do Armazenamento de Chaves e do Armazenamento de Confiança em nível de grupo de execução, dependendo de onde deseja configurar as propriedades de tempo de execução de armazenamento confiável e de truststore.
  2. No WebSphere Message Broker Explorer, clique com o botão direito do mouse no broker com o qual deseja trabalhar e clique em Propriedades.
  3. Na janela Propriedades, selecione a guia Segurança e clique em Conjuntos de Políticas.
  4. Crie um conjunto de políticas, ative a criptografia XML, crie os tokens de criptografia e selecione os algoritmos de criptografia que serão utilizados (consulte Editor de Conjuntos de Políticas e Ligações de Conjuntos de Políticas: Painel de Proteção do Nível da Mensagem).
  5. Define quais partes de uma mensagem devem ser critptografadas; consulte Editor de Conjuntos de Políticas e Ligações de Conjunto de Política: Painel Proteção de Parte da Mensagem.
  6. Configure ainda a criptografia de parte da mensagem; consulte Editor de Conjuntos de Política e Ligações de Conjunto de Política: Painel Políticas de Parte da Mensagem.
  7. Configure ainda o keystore e truststore; consulte Editor de Conjuntos de Políticas e Ligações de Conjunto de Política: Painel Informações Chave.
  8. Associe o conjunto de política a um fluxo de mensagens ou nó; consulte Associando Conjuntos de Políticas e Ligações a Fluxos de Mensagens e Nós.
Configurando a criptografia XML com bilhetes do Kerberos:
  1. Configure seu host para Kerberos, fornecendo um arquivo de configuração krb.conf. Esta etapa é necessária em todos os sistemas operacionais, incluindo Windows.
  2. Forneça o broker com as credenciais de cliente do Kerberos para acesso ao KDC (Key Distribution Center) do Kerberos. Essas credenciais (que são necessárias para nós SOAPRequest) podem ser fornecidas na árvore de propriedade do Broker ou utilizando o comando mqsisetdbparms. As credenciais são consideradas na ordem de prioridade:
    • O nó possui um perfil de segurança com a propriedade propagation configurada como True e o token de nome de usuário e a senha da árvore de Propriedades presente. Se não existir um token de Nome de usuário e senha, uma exceção será gerada.
    • mqsisetdbparms kerberos::<realm>::<execution group name>
    • mqsisetdbparms kerberos::<realm>
    • mqsisetdbparms kerberos::kerberos
  3. No WebSphere Message Broker Explorer, clique com o botão direito do mouse no broker com o qual deseja trabalhar e clique em Propriedades.
  4. Na janela Propriedades, selecione a guia Segurança e clique em Conjuntos de Políticas.
  5. Crie um conjunto de políticas e inclua o tipo de token do Kerberos necessário como Tokens Simétricos (consulte Editor de Conjuntos de Políticas e Ligações de Conjuntos de Políticas: Painel de Proteção do Nível da Mensagem).

Integridade

A integridade é fornecida pela assinatura XML e exige tokens de X.509 ou bilhetes do Kerberos.

Configurando a assinatura XML com tokens de X.509:
  1. Se estiver utilizadno armazenamento confiável do broker para suportar o certificado de armazenamento confiável, você deve configurá-lo. Consulte Visualizando e Configurando Propriedades do Tempo de Execução do Armazenamento de Chaves e do Armazenamento de Confiança em nível intermediário ou Visualizando e Configurando Propriedades do Tempo de Execução do Armazenamento de Chaves e do Armazenamento de Confiança em nível de grupo de execução dependendo onde deseja configura as propriedades de tempo de execução de keystore e de armazenamento confiável.
  2. No WebSphere Message Broker Explorer, clique com o botão direito do mouse no broker com o qual deseja trabalhar e clique em Propriedades.
  3. Na janela Propriedades, selecione a guia Segurança e clique em Conjuntos de Políticas.
  4. Crie um conjunto de políticas, ativer a assinatura XML e crie tokens de assinatura (consulte Editor de Conjuntos de Políticas e Ligações de Conjuntos de Políticas: Painel de Proteção do Nível da Mensagem).
  5. Defina quais partes de uma mensagem devem ser assinadas; consulte Editor de Conjuntos de Políticas e Ligações de Conjunto de Política: Painel Proteção de Parte da Mensagem.
  6. Configure ainda a assinatura de parte da mensagem; consulte Editor de Conjuntos de Política e Ligações de Conjunto de Política: Painel Políticas de Parte da Mensagem.
  7. Configure ainda o keystore e truststore; consulte Editor de Conjuntos de Políticas e Ligações de Conjunto de Política: Painel Informações Chave.
  8. Associe o conjunto de política a um fluxo de mensagens ou nó; consulte Associando Conjuntos de Políticas e Ligações a Fluxos de Mensagens e Nós.
Configurando a assinatura XML com bilhetes do Kerberos:
  1. Configure seu host para Kerberos, fornecendo um arquivo de configuração krb.conf. Esta etapa é necessária em todos os sistemas operacionais, incluindo Windows.
  2. Forneça o broker com as credenciais de cliente do Kerberos para acesso ao KDC (Key Distribution Center) do Kerberos. Essas credenciais (que são necessárias para nós SOAPRequest) podem ser fornecidas na árvore de propriedade do Broker ou utilizando o comando mqsisetdbparms. As credenciais são consideradas na seguinte ordem de prioridade:
    • O nó possui um perfil de segurança com a propriedade propagation configurada como True e o token de nome de usuário e a senha da árvore de Propriedades presente. Se não existir um token de Nome de usuário e senha, uma exceção será gerada.
    • mqsisetdbparms kerberos::<realm>::<execution group name>
    • mqsisetdbparms kerberos::<realm>
    • mqsisetdbparms kerberos::kerberos
  3. No WebSphere Message Broker Explorer, clique com o botão direito do mouse no broker com o qual deseja trabalhar e clique em Propriedades.
  4. Na janela Propriedades, selecione a guia Segurança e clique em Conjuntos de Políticas.
  5. Crie um conjunto de políticas e inclua o tipo de token do Kerberos necessário como Tokens Simétricos (consulte Editor de Conjuntos de Políticas e Ligações de Conjuntos de Políticas: Painel de Proteção do Nível da Mensagem).

Expiração

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:28:49


Tópico de TarefaTópico de Tarefa | Versão 8.0.0.5 | ac60160_