No WebSphere Message Broker, uma identidade é um token de segurança que identifica exclusivamente um indivíduo, ou que fornece um conjunto de asserções que podem ser validadas.
Quando um nó SecurityPEP ou um nó de entrada suportado é configurado com um perfil de segurança, a identidade extraída é mantida no broker como oito propriedades na pasta Propriedades da estrutura da árvore de mensagens. Essas propriedades definem duas identidades no broker: origem e mapeada. Para as identidades de origem e mapeadas, os valores são mantidos para as propriedades Tipo, Token, Senha e IssuedBy:
A propriedade Tipo de token de identidade nos nós de entrada de segurança ativada podem ser configurados para um valorPadrão de Transporte, que faz com que o tipo de token seja criado a partir do cabeçalho de identidade padrão ou dos campos do transporte. Para WebSphere MQ, Padrão de Transporte fornece um tipo de identidade Nome de Usuário. Para HTTP, Padrão de Transporte fornece um tipo de identidade de Nome de Usuário e Senha. A propriedade de tipo do token de Identidade no nó de SecurityPEP pode ser definida como Token Atual, que a ativa para utilizar a identidade nos campos da pasta Propriedades em vez de extrair uma nova identidade da mensagem.
A tabela a seguir mostra o suporte que é fornecido (pelo gerenciador de segurança do fluxo de mensagens e provedores de segurança externos) para a extração de diferentes tipos de tokens de segurança. Para obter informações sobre os tipos de tokens que são suportados para propagação de identidade, consulte Propagação do Token de Identidade e Segurança.
Tipo de token (formato) | O suporte do gerenciador de segurança do broker para a extração de tokens | Suporte do fornecedor de segurança externo |
---|---|---|
Username | Tokens de Nome de Usuário são suportados para extração pelos seguintes nós:
O token é obtido a partir de um dos seguintes cabeçalhos de transporte:
O valor da cadeia literal utilizado pelo broker (e que é possível utilizar para especificar o tipo de token em um programa ESQL ou Java™) é username. |
LDAP: Autorização |
Nome de Usuário e Senha |
Os tokens de Nome de usuário e senha são suportados para extração pelos seguintes nós:
O token é obtido a partir de um dos seguintes cabeçalhos de transporte:
O token de senha pode transportar uma senha não criptografada ou um RACF PassTicket. Se estiver utilizando um STS WS-Trust V1.3 (como TFIM V6.2), é possível utilizá-lo para mapear (emitir) ou validar RACF PassTickets, especificando o tipo de token com Nome de usuário e senha. Esse suporte está disponível com nós de entrada com segurança ativada e nós de SecurityPEP. O valor da cadeia literal utilizado pelo broker (e que é possível utilizar para especificar o tipo de token em um programa ESQL ou Java) é usernameAndPassword. |
LDAP:
|
Asserção do SAML | Tokens da SAML são suportados para extração pelos seguintes nós:
O token é obtido a partir de um dos seguintes locais:
O valor da cadeia literal utilizado pelo broker (e que é possível utilizar para especificar o tipo de token em um programa ESQL ou Java) é SAML. |
WS-Trust V1.3 STS (incluindo TFIM V6.2):
|
Kerberos GSS v5 AP_REQ | Os bilhetes do Kerberos são suportados para processamento pelo gerenciador de segurança do fluxo de mensagens a partir de um nó de SecurityPEP. O perfil do token Kerberos do WS-Security é suportado pelos seguintes nós SOAP, mas neste caso, o Centro de Distribuição da Chave Kerberos comunica-se diretamente, e a pasta de propriedades é preenchida com um token de Nome do Usuário representando o assunto Kerberos:
O token é obtido a partir de qualquer parte da árvore de mensagens em um nó de SecurityPEP, se o local do token for especificado utilizando uma expressão XPath ou caminho ESQL. O valor da cadeia literal utilizado pelo broker (e que é possível utilizar especificar o tipo de token em um programa ESQL ou Java) é kerberosTicket. |
WS-Trust V1.3 STS (incluindo TFIM V6.2):
|
Token LTPA v2 | Os tokens LTPA são suportados para extração pelos seguintes nós:
O token é obtido a partir de qualquer parte da árvore de mensagens em um nó de SecurityPEP, se o local do token for especificado utilizando uma expressão XPath ou caminho ESQL. O valor da cadeia literal utilizado pelo broker (e que é possível utilizar para especificar o tipo de token em um programa ESQL ou Java) é LTPA. |
WS-Trust V1.3 STS (incluindo TFIM V6.2):
|
Certificado X.509 | Os tokens de X.509 são suportados para extração pelos seguintes nós:
O token é obtido a partir de um dos seguintes locais:
O valor da cadeia literal utilizado pelo broker (e que é possível utilizar para especificar o tipo de token em um programa ESQL ou Java) é X.509. |
TFIM V6.1:
|
Token Universal WSSE | Os tokens Universal WSSE são suportados para extração apenas pelo nó de SecurityPEP. O token é obtido a partir de qualquer parte da árvore de mensagens em um nó de SecurityPEP, se o local do token for especificado utilizando uma expressão XPath ou caminho ESQL. O valor de cadeia literal utilizado pelo broker (e que é possível utilizar para especificar o tipo de token em um programa ESQL ou Java) é UniversalWsse. |
WS-Trust V1.3 STS (incluindo TFIM V6.2):
|
A identidade de origem é configurada apenas pelo SecurityPEP ou pelo nó de entrada se um perfil de segurança estiver associado ao nó. As informações para preencher esses campos são encontradas geralmente nos cabeçalhos de uma mensagem, mas também podem estar no corpo (desde que o nó tenha sido configurado com uma referência de Caminho ESQL ou XPath para as várias propriedades). Se diversas identidades estiverem disponíveis (por exemplo, se você estiver utilizando a agregação de mensagem), a primeira identidade é utilizada. A extração do token é específica do transporte e pode ser executada somente utilizando transportes que suportam o fluxo de identidades. Estes transportes são: Websphere MQ, HTTP(S) e SOAP. Consulte Nó MQInput e Nó HTTPInput para obter informações adicionais.
É possível modificar os valores nas propriedades (por exemplo, a partir de ESQL), mas não grave nos valores de IdentitySource*. Por exemplo, é possível criar uma rotina de mapeamento de identidade customizada no ESQL ou Java usando os valores IdentitySource* para criar valores IdentityMapped* customizados.
-- Analise o token SAML2.0 mapeado na pasta de propriedades e defina-o no corpo da mensagem
CREATE LASTCHILD OF OutputRoot DOMAIN('XMLNSC') PARSE(InputRoot.Properties.IdentityMappedToken,
InputProperties.Encoding, InputProperties.CodedCharSetId);
Para configurar os tokens de SAML ou Universal WSSE nos campos de propriedades,
você deve obter o fluxo de bits de uma árvore, por exemplo, usando a
função ESQL ASBITSTREAM.