WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

SecurityPEP

Use o nó SecurityPEP em um fluxo de mensagens para invocar o gerenciador de segurança do fluxo de mensagens em qualquer ponto no fluxo de mensagens.

Este tópico contém as seguintes seções:

Propósito

O nó SecurityPEP permite que você invoque o gerenciador de segurança do fluxo de mensagens em qualquer ponto no fluxo de mensagens entre um nó de entrada e um nó de saída (ou pedido).

A segurança do fluxo de mensagens permite que o broker execute processamento de ponta a ponta de uma identidade ou token de segurança transportado em uma mensagem através de um fluxo de mensagens. Este recurso permite que você configure a segurança para um fluxo de mensagens, permitindo controlar o acesso com base na identidade ou no token de segurança associado à mensagem e fornecendo um mecanismo de segurança que é independente do tipo de transporte e do formato da mensagem.

O nó SecurityPEP permite invocar o gerenciador de segurança mesmo se seus nós de entrada do fluxo de mensagens não suportarem a segurança do fluxo de mensagens (por exemplo, nós TCPIPClientInput ou SAPInput). Se você usar nós de entrada que não suportam segurança do fluxo de mensagens, ou requerer algum processamento ou roteamento da mensagem antes que a operação de segurança necessária possa ser identificada, poderá usar o nó SecurityPEP para invocar a segurança do fluxo de mensagens.

O nó SecurityPEP também permite invocar diferentes aspectos de segurança em diferentes pontos no fluxo de mensagens. Por exemplo, é possível solicitar que a autenticação ocorra em um nó de entrada com segurança ativada, enquanto que o mapeamento de token e a autorização podem ser solicitados depois de alguma lógica no fluxo de mensagem ter determinado a operação de negócios necessária. Alternativamente, você pode ter um fluxo de mensagens com múltiplos nós de pedido que requerem que nós SecurityPEP ativem um tipo de token de segurança para ser mapeado para outro tipo para propagação pelos nós de pedido.

É possível usar as propriedades do nó para especificar o local dos tokens de segurança na árvore de mensagens. Estas propriedades contêm uma expressão XPath ou caminho de ESQL que define o local dos tokens de segurança na árvore de mensagens. O gerenciador de segurança do fluxo de mensagens extrai estas informações da mensagem e as envia ao Ponto de Decisão de Política (PDP) externo, o qual usa as informações para autenticação, autorização ou mapeamento. O PDP a ser usado é configurado pelo perfil de segurança associado.

Alternativamente, é possível configurar o nó SecurityPEP para usar os tokens atuais, que já foram extraídos por um nó de entrada de envio de dados ou nó SecurityPEP e armazenados na pasta Propriedades. Quando o nó é configurado com o tipo de token como Token Atual, se um token mapeado existir, o token mapeado será usado; caso contrário, o token de origem será usado.

O nó SecurityPEP deve estar associado a um perfil de segurança, que especifica as operações de segurança a serem impingidas pelo nó, incluindo autenticação, autorização e mapeamento. Se nenhum perfil de segurança estiver associado ao nó, o nó propagará a mensagem para o terminal Output sem impingir qualquer segurança. Os perfis de segurança são configurados pelo administrador do broker antes de implementar um fluxo de mensagens e são acessados pelo gerenciador de segurança no tempo de execução. Se um perfil de segurança for especificado em um fluxo de mensagens ou um nó, o perfil deverá estar disponível quando o fluxo de mensagens for implementado; caso contrário, ocorrerá um erro de implementação.

O perfil de segurança associado também permite especificar o provedor de segurança externo a ser usado (LDAP, WS-Trust V1.3 STS ou TFIM V6.1) e configurar a maneira na qual ele é usado. O perfil de segurança é associado ao nó SecurityPEP (ou seu fluxo de mensagens de propriedade) durante a implementação, editando a propriedade Perfil de Segurança com o editor Broker Archive.

Para obter informações sobre os tipos de token de segurança que são suportados pelo nó SecurityPEP, consulte Identidade.

O nó SecurityPEP propaga mensagens ao terminal Out apenas se todas as operações de segurança configuradas concluírem com êxito. As mensagens de entrada são propagadas sem modificação, à parte do preenchimento da identidade de origem e da identidade mapeada (se uma existir).

Se qualquer uma das operações de segurança configuradas for malsucedida, o nó SecurityPEP lançará uma exceção de segurança agrupada em uma exceção recuperável (diferente dos nós de entrada ativados para segurança), que invoca a manipulação de erros que é fornecida pelo fluxo de mensagens. Isto possibilita que a exceção seja capturada e processada. Alternativamente, é possível tratar as exceções do nó SecurityPEP ligando o terminal de falha do nó à lógica de processamento de falha de segurança específica. Quando uma operação de segurança falha, as mensagens de entrada não se modificam à parte do preenchimento da lista de exceções.

O nó SecurityPEP está contido no repositório Segurança da paleta e é representado no WebSphere Message Broker Toolkit pelo seguinte ícone:

Ícone do nó TCPIPClientInput

Estrutura da mensagem

O nó SecurityPEP manipula mensagens nos seguintes domínios de mensagem:
  • MRM
  • XMLNSC
  • DataObject
  • XMLNS
  • JMSMap
  • JMSStream
  • MIME
  • BLOB
  • SOAP
  • XML (este domínio está reprovado; utilize XMLNSC)
  • IDOC (este domínio está reprovado; utilize MRM)

Utilizando o Nó SecurityPEP em um Fluxo de Mensagens

Examine a amostra a seguir para saber como utilizar o nó SecurityPEP:

Você só pode visualizar informações sobre amostras quando usa o centro de informações que está integrado ao WebSphere Message Broker Toolkit ou o centro de informações on-line. Você só poderá executar amostras quando usar o centro de informações que está integrado ao WebSphere Message Broker Toolkit.

Configurando o Nó SecurityPEP

Quando tiver colocado uma instância do nó SecurityPEP em um fluxo de mensagens, você poderá configurá-lo; consulte Configurando um Nó do Fluxo de Mensagens. As propriedades do nó são exibidas na visualização Propriedades.

Todas as propriedades obrigatórias que não tiverem um valor padrão definido serão marcadas com um asterisco.

Configure o nó SecurityPEP:

  1. Opcional: Na guia Descrição , digite uma Descrição curta, uma Descrição longa, ou ambas. Você também pode renomear o nó nessa guia.
  2. Na guia Básico, configure valores para as propriedades que controlam a extração de uma identidade ou um token de segurança de uma mensagem (quando um perfil de segurança está associado ao nó).
    • Selecione uma opção na lista Token de Identidade para especificar o tipo de identidade na árvore de mensagem recebida. Se você deixar esta opção com o padrão (Token Atual), o tipo de token que existe na identidade mapeada ou campo de origem na pasta Propriedades será usado.

      Se Token Atual estiver selecionado, os campos Local do Token de Identidade e Local da Senha de Identidade serão desativados.

    • Em Local do Token de Identidade, insira a expressão XPath, a referência de campo ESQL ou a cadeia literal que especifica onde, na mensagem, a identidade ou o token está localizado. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.),

      Esta propriedade é desativada se a propriedade Tipo de Token de Identidade é configurada como Token Atual.

    • Em Local da Senha de Identidade, insira a expressão XPath, a referência de campo ESQL ou a cadeia literal que especifica onde, na mensagem, a senha pode ser localizada. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.),

      Essa opção pode ser configurada somente se Tipo de Token de Identidade estiver configurado para Nome do Usuário + Senha.

      Esta propriedade é desativada se a propriedade Tipo de Token de Identidade é configurada como Token Atual.

    • Em Local de issuedBy da Identidade, especifique uma expressão XPath, uma referência de campo ESQL ou uma cadeia literal que especifica o local na mensagem do valor do emissor. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.),

      Se o perfil de segurança associado especificar um provedor WS-Trust v1.3 STS (por exemplo, TFIM V6.2) e este campo for deixado em branco, nenhum elemento WS-Trust Issuer.Address será incluído no pedido WS-Trust.

  3. Na guia Avançado, configure as propriedades para substituir as configurações padrão para um WS-Trust v1.3 STS. Estas propriedades podem ser configuradas apenas se o perfil de segurança associado ao nó SecurityPEP especificar um WS-Trust v1.3 STS.
    • Use a propriedade Endereço WS-Trust Applies-To para especificar o Endereço para o elemento /wst:RequestSecurityToken/wsp:AppliesTo da mensagem WS-Trust. É possível usar esta propriedade para fornecer o URI do serviço para o qual o token de segurança deve ser validado ou emitido.

      É possível especificar este valor como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.),

      Por padrão, este valor é um URI para o nome completo do fluxo de mensagens, no formato uri:Brokername.Execution Group Name.Message Flow Name

    • Use a propriedade WS-Trust Applies-To Service para especificar o Nome do Serviço para o elemento /wst:RequestSecurityToken/wsp:AppliesTo da mensagem WS-Trust. É possível usar esta propriedade para fornecer o Nome do Serviço do serviço para o qual o token de segurança deve ser validado ou emitido.

      É possível especificar este valor como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.),

      Por padrão, este valor é deixado em branco, o que significa que o pedido WS-Trust não incluirá este elemento.

    • Use a propriedade Tipo de Porta WS-Trust Applies-To para especificar o Tipo de Porta para o elemento /wst:RequestSecurityToken/wsp:AppliesTo da mensagem WS-Trust. É possível usar esta propriedade para fornecer o Tipo de Porta do serviço para o qual o token de segurança deve ser validado ou emitido.

      É possível especificar este valor como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.),

Para obter informações adicionais, consulte o Visão Geral de Segurança do Fluxo de Mensagens e o Configurando a Segurança do Fluxo de Mensagens.

Terminais e Propriedades

Os terminais do nó SecurityPEP são descritos na tabela a seguir.

Terminal Descrição
In O terminal de entrada que aceita uma mensagem para processamento.
Out O terminal de saída para o qual a mensagem é roteada se o nó SecurityPEP estiver associado a um perfil de segurança e se todas as operações de segurança configuradas concluírem com êxito. Os elementos de identidade da pasta de propriedades propagadas são atualizados pelas operações de segurança configuradas.
Falha O terminal de saída para o qual a mensagem é roteada se houver uma falha no nó; por exemplo, se as operações de segurança configuradas retornarem uma exceção.

As tabelas a seguir descrevem as propriedades do nó. A coluna com cabeçalho M indica se a propriedade é obrigatória (mandatory) (marcado com um asterisco caso seja necessário digitar um valor quando nenhum padrão for definido); a coluna com cabeçalho C indica se a propriedade é configurável (configurable) (você poderá alterar o valor quando incluir o fluxo de mensagens no arquivo bar para implementá-lo).

As propriedades Descrição do nó SecurityPEP são descritas na tabela a seguir.

Propriedade M A O padrão Descrição
Nome de nó Não Não O tipo de nó, SecurityPEP O nome do nó.
Descrição curta Não Não   Uma breve descrição do nó.
Descrição Longa Não Não   Texto que descreve a finalidade do nó no fluxo de mensagens.

As propriedades Básicas do nó SecurityPEP são descritas na tabela a seguir. Configure valores para estas propriedades para controlar a extração de uma identidade de uma mensagem (quando um perfil de segurança estiver associado ao nó). Para obter informações adicionais sobre estas propriedades, consulte Identidade, Configurando a Extração de uma Identidade ou Token de Segurança, Visão Geral de Segurança do Fluxo de Mensagens e Configurando a Segurança do Fluxo de Mensagens.

Propriedade M A O padrão Descrição
Tipo de token de identidade Não Não Nenhum(a) Essa propriedade especifica o tipo de token de identidade presente na mensagem de entrada. Os valores válidos são:
  • Token Atual
  • Nome de Usuário
  • Nome de Usuário e Senha
  • Certificado X.509
  • Asserção SAML
  • Kerberos GSS v5 AP_REQ
  • Token LTPA v2
  • Token Universal WSSE
Se esta propriedade for configurada como Token Atual, a identidade na pasta Propriedades será usada.

Também é possível especificar o valor Nome do usuário e senha para validar um RACF® PassTicket utilizando um WS-Trust V1.3 STS como o TFIM V6.2.

Local do token de identidade Não Não Nenhum(a) Esta propriedade especifica onde, na mensagem, a identidade ou o token de segurança pode ser localizado. O local é especificado como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.),
Local da senha de identidade Não Não Nenhum(a) Essa propriedade especifica onde, na mensagem, a senha pode ser localizada. O local é especificado como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.),

Esta propriedade pode ser configurada apenas se o Tipo de token de identidade for configurado como Nome do usuário e senha.

Local de IssuedBy da identidade Não Não Nenhum(a) Esta propriedade especifica uma expressão XPath ou caminho de ESQL que descreve o emissor da identidade ou do token de segurança. O local é especificado como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.),

Esta opção é usada quando o perfil de segurança associado especifica um provedor WS-Trust V1.3 STS (por exemplo, TFIM V6.2) para autenticação, mapeamento ou autorização. Neste caso, quando este campo é deixado em branco, nenhum elemento WS-Trust Issuer.Address é enviado.

As propriedades Avançadas do nó SecurityPEP são descritas na tabela a seguir. Estas propriedades são usadas apenas se o perfil de segurança especificar um WS-Trust V1.3 STS (por exemplo, TFIM V6.2).

Propriedade M A O padrão Descrição
Endereço WS-Trust Applies-To Não SIM Não configurado Esta propriedade configura o Endereço para o elemento /wst:RequestSecurityToken/wsp:AppliesTo da mensagem WS-Trust. Use esta propriedade para fornecer o URI do serviço para o qual o token de segurança deve ser validado ou emitido.

Este valor pode ser especificado como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.),

Por padrão, este valor é um URI para o nome completo do fluxo de mensagens, no formato uri:Brokername.Execution Group Name.Message Flow Name.

Serviço WS-Trust Applies-To Não SIM Não configurado Esta propriedade configura o Nome do Serviço para o elemento /wst:RequestSecurityToken/wsp:AppliesTo da mensagem WS-Trust. Use esta propriedade para fornecer o Nome do Serviço do serviço para o qual o token de segurança deve ser validado ou emitido.

Este valor pode ser especificado como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.),

Por padrão, este valor é deixado em branco, o que significa que o pedido WS-Trust não inclui este elemento.

Tipo de Porta WS-Trust Applies-To Não SIM Não configurado Esta propriedade configura o Tipo de Porta para o elemento /wst:RequestSecurityToken/wsp:AppliesTo da mensagem WS-Trust. Use esta propriedade para fornecer o Tipo de Porta do serviço para o qual o token de segurança deve ser validado ou emitido.

Este valor pode ser especificado como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.),

Por padrão, este valor é deixado em branco, o que significa que o pedido WS-Trust não inclui este elemento.

As propriedades Monitoramento do nó são descritas na tabela a seguir.
Propriedade M P Default Descrição
Eventos Não Não Nenhum Eventos definidos para o nó são exibidos nesta guia. Por padrão, nenhum evento de monitoramento é definido em um nó do fluxo de mensagens. Utilize Incluir, Editar, e Excluir para criar, alterar ou excluir eventos de monitoração no nó; consulte Configurando fontes de eventos de monitoramento utilizando propriedades de monitoramento para detalhes.

É possível ativar e desativar eventos mostrados aqui selecionando ou desmarcando a caixa de opções Ativado.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:30:55


Tópico de ReferênciaTópico de Referência | Versão 8.0.0.5 | bc28210_