WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Chamando a Segurança de Fluxo de Mensagens Utilizando Um Nó de SecurityPEP

É possível chamar o gerenciador de segurança do fluxo de mensagens em qualquer ponto em um fluxo de mensagens, entre um nó de entrada e um nó de saída ou de pedido, utilizando um nó de SecurityPEP.

O diagrama a seguir mostra um fluxo de mensagens de exemplo e fornece uma visão geral da sequência de eventos que ocorre quando uma mensagem de entrada é recebida por um nó de entrada sem segurança ativada (ou que não possui um perfil de segurança associado) e é posteriormente processada por um nó de SecurityPEP no fluxo de mensagens:

Diagrama mostrando a sequência de eventos que ocorre quando uma mensagem é recebida em um nó de SecurityPEP em um fluxo de mensagens.
As etapas a seguir explicam a sequência de eventos que ocorre quando uma mensagem chega em um nó de entrada sem segurança ativada (ou que não possui perfil de segurança associado). Os números correspondem aos do diagrama precedente:
  1. É possível usar um nó de SecurityPEP em qualquer ponto em um fluxo de mensagens entre um nó de entrada e um nó de saída ou de pedido. O nó de SecurityPEP ativa a segurança para ser aplicada em um fluxo de mensagens nas seguintes situações:
    • Quando o nó de entrada do fluxo de mensagens não tem segurança ativada (por exemplo, os nós FileInput, TCPIPClientInput, SAPInput e JMSInput).
    • Quando o nó de entrada do fluxo de mensagens possuo segurança ativada e pode ser configurado para executar operações de autenticação, mas o fluxo de mensagens precisa executar algum roteamento ou filtragem antes da função de negócios sendo chamada ser conhecida. Como resultado, a autorização precisa ser executada posteriormente na lógica do fluxo de mensagens.
    • Quando o fluxo de mensagens inclui múltiplos nós de saída ou de pedido, que necessitam que um mapeamento de identidade específico seja executado antes de cada nó, para obter os tokens de segurança adequados para propagação.
    A árvore de mensagens que é propagada no nó SecurityPEP inclui os campos de identidade da árvore de propriedades. Esses campos estão vazios, a menos que um nó de entrada com segurança ativada (ou um nó de SecurityPEP anterior) já tenha extraído os tokens de identidade e possivelmente executado algumas operações de segurança.
  2. Quando uma mensagem é recebida em um SecurityPEP, a presença de um perfil de segurança associado ao nó indica se o fluxo de mensagens está configurado. O gerenciador de segurança do broker é chamado para ler o perfil, que especifica a combinação de propagação, autenticação, autorização e mapeamento a serem executados com a identidade da mensagem. Ele também especifica o provedor de segurança externo (também conhecido como o Ponto de Decisão de Política ou PDP) a ser utilizado.

    É possível criar os perfis de segurança utilizando o comando mqsicreateconfigurableservice ou um editor no WebSphere Message Broker Explorer. Você então utiliza o editor Broker Archive para configurar o perfil de segurança em um nó individual ou no fluxo de mensagens inteiro. Se você associar o perfil de segurança ao fluxo de mensagens, o perfil de segurança se aplicará a todos os nós de entrada, saída e de SecurityPEP no fluxo de mensagens. Todavia, um perfil de segurança que está associado a um nó individual tem precedência sobre um perfil de segurança que está associado ao fluxo de mensagens. Perfis de segurança predefinidos são fornecidos para propagação de identidade da configuração e para explicitamente configurar um nó sem segurança.

  3. Se um perfil de segurança estiver associado ao nó de SecurityPEP ou ao fluxo de mensagens, o nó extrairá as informações de identificação da árvore de mensagens com base na configuração do nó e definirá os elementos de Identidade da Origem na pasta Propriedades. Se o nó definir um tipo de token Token atual, os tokens de identidade existentes nos campos de propriedades da Identidade Mapeada serão usados (se eles existirem). Se não houver tokens de identidade nos campos de propriedades da Identidade Mapeada, os tokens nos campos de propriedades da Identidade de Origem serão utilizados. Se os tokens de segurança não puderem ser extraídos com êxito, uma exceção de segurança será gerada e propagada para o terminal Failure (se estiver conectado).
  4. Se a autenticação for especificada no perfil de segurança, o gerenciador de segurança chama o provedor de segurança configurado para autenticar a identidade. Uma falha resulta no retorno de uma exceção de segurança ao nó. Os provedores de segurança suportados pelo Message Broker para autenticação são os servidores de token de segurança LDA compatíveis com WS-Trust v1.3 (como TFIM V6.2) e o TFIM V6.1.

    Um cache de segurança é fornecido para o resultado da autenticação, o que permite que as mensagens subsequentes (com as mesmas credenciais) que são recebidas no fluxo de mensagens sejam concluídas com o resultado armazenado em cache, desde que não tenha expirado.

  5. Se o mapeamento de identidade for especificado no perfil de segurança, o gerenciador de segurança chama o provedor de segurança configurado para mapear a identidade em uma identidade alternativa. Uma falha resulta no retorno de uma exceção de segurança ao nó. Caso contrário, as informações de identidade mapeadas serão configuradas nos elementos de Identidade Mapeada na pasta Propriedades.

    Os provedores de segurança suportados pelo Message Broker para mapeamento de identidade são servidores de tokens de segurança compatíveis com WS-Trust V1.3 (como TFIM V6.2) e o TFIM V6.1.

    É fornecido um cache de segurança para o resultado do mapeamento de identidade.

  6. Se a autorização for especificada no perfil de segurança, o gerenciador de segurança chama o provedor de segurança configurado para autorizar se a identidade (seja mapeada ou de origem) tem acesso a esse fluxo de mensagens. Uma falha resulta no retorno de uma exceção de segurança ao nó.

    Os provedores de segurança suportados pelo Message Broker para autorização são os servidores de token de segurança LDAP compatíveis com WS-Trust V1.3 (como TFIM V6.2) e o TFIM V6.1.

    É fornecido um cache de segurança para o resultado da autorização.

  7. Quando todo o processamento de segurança é concluído ou quando uma exceção de segurança é gerada pelo gerenciador de segurança do fluxo de mensagens, o controle retorna ao nó de SecurityPEP.

    Quando uma exceção de garantia é retornada ao nó de SecurityPEP, a exceção é propagada para o terminal Failure se ele estiver conectado ou retornada ao nó precedente como uma exceção recuperável. O nó de SecurityPEP propaga para seu terminal Out apenas se todas as operações configuradas no perfil de segurança associado forem concluídas com êxito.

  8. A mensagem, incluindo a pasta Propriedades preenchida e suas informações de identificação de origem e mapeadas, é propagada no fluxo de mensagens.
  9. Quando você está desenvolvendo um fluxo de mensagens, é possível utilizar os campos de identidade na pasta Propriedades para processamento do aplicativo (por exemplo, roteamento baseado em identidade ou construção de conteúdo baseada em identidade). Se a identidade tiver que ser propagada em uma mensagem de saída ou nó de pedido que não suporta a propagação do token, é possível utilizar um nó de cálculo (incluindo um nó de Compute, JavaCompute, PHPCompute ou Mapeamento), para mover o token de identidade no cabeçalho de transporte necessário ou no local do corpo da mensagem.
  10. Quando a mensagem atinge um nó de saída, um perfil de segurança associado ao nó pode indicar se uma identidade deve ser retirada da pasta Propriedades e propagada quando a mensagem é enviada. Apenas nós de transporte específicos podem propagar tokens que são o padrão para o transporte. Todos os outros tipos de token devem ser tratados por um nó de cálculo, como descrito acima.
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:31:42


Tópico de ConceitoTópico de Conceito | Versão 8.0.0.5 | bp28160_