Use o nó SecurityPEP em um fluxo de mensagens para invocar o gerenciador de segurança do fluxo de mensagens em qualquer ponto no fluxo de mensagens.
Este tópico contém as seguintes seções:
O nó SecurityPEP permite que você invoque o gerenciador de segurança do fluxo de mensagens em qualquer ponto no fluxo de mensagens entre um nó de entrada e um nó de saída (ou pedido).
A segurança do fluxo de mensagens permite que o broker execute processamento de ponta a ponta de uma identidade ou token de segurança transportado em uma mensagem através de um fluxo de mensagens. Este recurso permite que você configure a segurança para um fluxo de mensagens, permitindo controlar o acesso com base na identidade ou no token de segurança associado à mensagem e fornecendo um mecanismo de segurança que é independente do tipo de transporte e do formato da mensagem.
O nó SecurityPEP permite invocar o gerenciador de segurança mesmo se seus nós de entrada do fluxo de mensagens não suportarem a segurança do fluxo de mensagens (por exemplo, nós TCPIPClientInput ou SAPInput). Se você usar nós de entrada que não suportam segurança do fluxo de mensagens, ou requerer algum processamento ou roteamento da mensagem antes que a operação de segurança necessária possa ser identificada, poderá usar o nó SecurityPEP para invocar a segurança do fluxo de mensagens.
O nó SecurityPEP também permite invocar diferentes aspectos de segurança em diferentes pontos no fluxo de mensagens. Por exemplo, é possível solicitar que a autenticação ocorra em um nó de entrada com segurança ativada, enquanto que o mapeamento de token e a autorização podem ser solicitados depois de alguma lógica no fluxo de mensagem ter determinado a operação de negócios necessária. Alternativamente, você pode ter um fluxo de mensagens com múltiplos nós de pedido que requerem que nós SecurityPEP ativem um tipo de token de segurança para ser mapeado para outro tipo para propagação pelos nós de pedido.
É possível usar as propriedades do nó para especificar o local dos tokens de segurança na árvore de mensagens. Estas propriedades contêm uma expressão XPath ou caminho de ESQL que define o local dos tokens de segurança na árvore de mensagens. O gerenciador de segurança do fluxo de mensagens extrai estas informações da mensagem e as envia ao Ponto de Decisão de Política (PDP) externo, o qual usa as informações para autenticação, autorização ou mapeamento. O PDP a ser usado é configurado pelo perfil de segurança associado.
Alternativamente, é possível configurar o nó SecurityPEP para usar os tokens atuais, que já foram extraídos por um nó de entrada de envio de dados ou nó SecurityPEP e armazenados na pasta Propriedades. Quando o nó é configurado com o tipo de token como Token Atual, se um token mapeado existir, o token mapeado será usado; caso contrário, o token de origem será usado.
O nó SecurityPEP deve estar associado a um perfil de segurança, que especifica as operações de segurança a serem impingidas pelo nó, incluindo autenticação, autorização e mapeamento. Se nenhum perfil de segurança estiver associado ao nó, o nó propagará a mensagem para o terminal Output sem impingir qualquer segurança. Os perfis de segurança são configurados pelo administrador do broker antes de implementar um fluxo de mensagens e são acessados pelo gerenciador de segurança no tempo de execução. Se um perfil de segurança for especificado em um fluxo de mensagens ou um nó, o perfil deverá estar disponível quando o fluxo de mensagens for implementado; caso contrário, ocorrerá um erro de implementação.
O perfil de segurança associado também permite especificar o provedor de segurança externo a ser usado (LDAP, WS-Trust V1.3 STS ou TFIM V6.1) e configurar a maneira na qual ele é usado. O perfil de segurança é associado ao nó SecurityPEP (ou seu fluxo de mensagens de propriedade) durante a implementação, editando a propriedade Perfil de Segurança com o editor Broker Archive.
Para obter informações sobre os tipos de token de segurança que são suportados pelo nó SecurityPEP, consulte Identidade.
O nó SecurityPEP propaga mensagens ao terminal Out apenas se todas as operações de segurança configuradas concluírem com êxito. As mensagens de entrada são propagadas sem modificação, à parte do preenchimento da identidade de origem e da identidade mapeada (se uma existir).
Se qualquer uma das operações de segurança configuradas for malsucedida, o nó SecurityPEP lançará uma exceção de segurança agrupada em uma exceção recuperável (diferente dos nós de entrada ativados para segurança), que invoca a manipulação de erros que é fornecida pelo fluxo de mensagens. Isto possibilita que a exceção seja capturada e processada. Alternativamente, é possível tratar as exceções do nó SecurityPEP ligando o terminal de falha do nó à lógica de processamento de falha de segurança específica. Quando uma operação de segurança falha, as mensagens de entrada não se modificam à parte do preenchimento da lista de exceções.
O nó SecurityPEP está contido no repositório Segurança da paleta e é representado no WebSphere Message Broker Toolkit pelo seguinte ícone:
Você só pode visualizar informações sobre amostras quando usa o centro de informações que está integrado ao WebSphere Message Broker Toolkit ou o centro de informações on-line. Você só poderá executar amostras quando usar o centro de informações que está integrado ao WebSphere Message Broker Toolkit.
Quando tiver colocado uma instância do nó SecurityPEP em um fluxo de mensagens, você poderá configurá-lo; consulte Configurando um Nó do Fluxo de Mensagens. As propriedades do nó são exibidas na visualização Propriedades.
Todas as propriedades obrigatórias que não tiverem um valor padrão definido serão marcadas com um asterisco.
Configure o nó SecurityPEP:
Se Token Atual estiver selecionado, os campos Local do Token de Identidade e Local da Senha de Identidade serão desativados.
Esta propriedade é desativada se a propriedade Tipo de Token de Identidade é configurada como Token Atual.
Essa opção pode ser configurada somente se Tipo de Token de Identidade estiver configurado para Nome do Usuário + Senha.
Esta propriedade é desativada se a propriedade Tipo de Token de Identidade é configurada como Token Atual.
Se o perfil de segurança associado especificar um provedor WS-Trust v1.3 STS (por exemplo, TFIM V6.2) e este campo for deixado em branco, nenhum elemento WS-Trust Issuer.Address será incluído no pedido WS-Trust.
É possível especificar este valor como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.),
Por padrão, este valor é um URI para o nome completo do fluxo de mensagens, no formato uri:Brokername.Execution Group Name.Message Flow Name
É possível especificar este valor como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.),
Por padrão, este valor é deixado em branco, o que significa que o pedido WS-Trust não incluirá este elemento.
É possível especificar este valor como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.),
Para obter informações adicionais, consulte o Visão Geral de Segurança do Fluxo de Mensagens e o Configurando a Segurança do Fluxo de Mensagens.
Os terminais do nó SecurityPEP são descritos na tabela a seguir.
Terminal | Descrição |
---|---|
In | O terminal de entrada que aceita uma mensagem para processamento. |
Out | O terminal de saída para o qual a mensagem é roteada se o nó SecurityPEP estiver associado a um perfil de segurança e se todas as operações de segurança configuradas concluírem com êxito. Os elementos de identidade da pasta de propriedades propagadas são atualizados pelas operações de segurança configuradas. |
Falha | O terminal de saída para o qual a mensagem é roteada se houver uma falha no nó; por exemplo, se as operações de segurança configuradas retornarem uma exceção. |
As tabelas a seguir descrevem as propriedades do nó. A coluna com cabeçalho M indica se a propriedade é obrigatória (mandatory) (marcado com um asterisco caso seja necessário digitar um valor quando nenhum padrão for definido); a coluna com cabeçalho C indica se a propriedade é configurável (configurable) (você poderá alterar o valor quando incluir o fluxo de mensagens no arquivo bar para implementá-lo).
As propriedades Descrição do nó SecurityPEP são descritas na tabela a seguir.
Propriedade | M | A | O padrão | Descrição |
---|---|---|---|---|
Nome de nó | Não | Não | O tipo de nó, SecurityPEP | O nome do nó. |
Descrição curta | Não | Não | Uma breve descrição do nó. | |
Descrição Longa | Não | Não | Texto que descreve a finalidade do nó no fluxo de mensagens. |
As propriedades Básicas do nó SecurityPEP são descritas na tabela a seguir. Configure valores para estas propriedades para controlar a extração de uma identidade de uma mensagem (quando um perfil de segurança estiver associado ao nó). Para obter informações adicionais sobre estas propriedades, consulte Identidade, Configurando a Extração de uma Identidade ou Token de Segurança, Visão Geral de Segurança do Fluxo de Mensagens e Configurando a Segurança do Fluxo de Mensagens.
Propriedade | M | A | O padrão | Descrição |
---|---|---|---|---|
Tipo de token de identidade | Não | Não | Nenhum(a) | Essa propriedade especifica o tipo de token de identidade presente na mensagem de entrada. Os valores
válidos são:
Também é possível especificar o valor Nome do usuário e senha para validar um RACF® PassTicket utilizando um WS-Trust V1.3 STS como o TFIM V6.2. |
Local do token de identidade | Não | Não | Nenhum(a) | Esta propriedade especifica onde, na mensagem, a identidade ou o token de segurança pode ser localizado. O local é especificado como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.), |
Local da senha de identidade | Não | Não | Nenhum(a) | Essa propriedade especifica onde, na mensagem, a senha pode ser localizada. O local é especificado
como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal.
Se usar uma cadeia literal, ela deverá ser colocada entre aspas
simples e não deverá conter um ponto (.), Esta propriedade pode ser configurada apenas se o Tipo de token de identidade for configurado como Nome do usuário e senha. |
Local de IssuedBy da identidade | Não | Não | Nenhum(a) | Esta propriedade especifica uma expressão XPath
ou caminho de ESQL que descreve o emissor da identidade ou do token
de segurança. O local é especificado
como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas
simples e não deverá conter um ponto (.), Esta opção é usada quando o perfil de segurança associado especifica um provedor WS-Trust V1.3 STS (por exemplo, TFIM V6.2) para autenticação, mapeamento ou autorização. Neste caso, quando este campo é deixado em branco, nenhum elemento WS-Trust Issuer.Address é enviado. |
As propriedades Avançadas do nó SecurityPEP são descritas na tabela a seguir. Estas propriedades são usadas apenas se o perfil de segurança especificar um WS-Trust V1.3 STS (por exemplo, TFIM V6.2).
Propriedade | M | A | O padrão | Descrição |
---|---|---|---|---|
Endereço WS-Trust Applies-To | Não | SIM | Não configurado | Esta propriedade configura o Endereço para o elemento /wst:RequestSecurityToken/wsp:AppliesTo
da mensagem WS-Trust. Use esta propriedade para fornecer o URI do
serviço para o qual o token de segurança deve ser validado ou emitido. Este valor pode ser especificado como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.), Por padrão, este valor é um URI para o nome completo do fluxo de mensagens, no formato uri:Brokername.Execution Group Name.Message Flow Name. |
Serviço WS-Trust Applies-To | Não | SIM | Não configurado | Esta propriedade configura o Nome do Serviço para o elemento /wst:RequestSecurityToken/wsp:AppliesTo da mensagem WS-Trust. Use esta propriedade para fornecer o Nome do Serviço
do serviço para o qual o token de segurança deve ser validado
ou emitido. Este valor pode ser especificado como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.), Por padrão, este valor é deixado em branco, o que significa que o pedido WS-Trust não inclui este elemento. |
Tipo de Porta WS-Trust Applies-To | Não | SIM | Não configurado | Esta propriedade configura o Tipo de Porta para o elemento /wst:RequestSecurityToken/wsp:AppliesTo da mensagem WS-Trust. Use esta propriedade para fornecer o Tipo de Porta
do serviço para o qual o token de segurança deve ser validado ou
emitido. Este valor pode ser especificado como uma referência de campo ESQL, uma expressão XPath ou uma cadeia literal. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.), Por padrão, este valor é deixado em branco, o que significa que o pedido WS-Trust não inclui este elemento. |
Propriedade | M | P | Default | Descrição |
---|---|---|---|---|
Eventos | Não | Não | Nenhum | Eventos definidos para o nó são exibidos nesta guia. Por padrão, nenhum evento de monitoramento é definido em um nó do fluxo de mensagens. Utilize Incluir, Editar,
e Excluir para criar, alterar ou excluir eventos de monitoração no nó; consulte Configurando fontes de eventos de monitoramento utilizando propriedades de monitoramento para detalhes. É possível ativar e desativar eventos mostrados aqui selecionando ou desmarcando a caixa de opções Ativado. |