É possível chamar o gerenciador de segurança do fluxo de mensagens configurando um nó de entrada com segurança ativada.
O diagrama a seguir mostra um fluxo de mensagem de exemplo e lhe apresenta um visão geral da sequência de eventos que ocorre quando uma mensagem de entrada é recebida por um nó de entrada com segurança ativada no fluxo de mensagens:
É possível criar os perfis de segurança utilizando o comando mqsicreateconfigurableservice ou um editor no WebSphere Message Broker Explorer. Você então utiliza o editor Broker Archive para configurar o perfil de segurança em um nó individual ou no fluxo de mensagens inteiro. Se você associar o perfil de segurança ao fluxo de mensagens, o perfil de segurança aplica-se a todos os nós de entrada e saída com segurança ativada e aos nós do SecurityPEP no fluxo de mensagens. Todavia, um perfil de segurança que está associado a um nó individual tem precedência sobre um perfil de segurança que está associado ao fluxo de mensagens. Um perfil de segurança predefinido, chamado Propagação padrão, é fornecido para configuração da propagação de identidade. Para configurar explicitamente um nó sem segurança, configure o perfil de segurança como No security.
Se você necessitar de um nó de SOAPInput para utilizar a identidade no cabeçalho de Segurança WS (em vez de uma identidade de transporte subjacente), você também deve definir e especificar um conjunto de políticas e ligações adequadas para o perfil do token relevante. Para informações adicionais, consulte Conjuntos de Políticas.
Para nós de entrada MQ, HTTP ou SCA, a página de propriedades Segurança é utilizada para configurar a extração da identidade. Isso faz com que Padrão de Transporte seja assumido como padrão. Por exemplo, um nó do HTTPInput extrai um nome de usuário e uma senha do cabeçalho HTTP BasicAuth. A página de propriedades Segurança permite que o tipo de token de Identidade e sua localização sejam explicitamente configuradas para controlar a extração. Essas informações de identificação da origem podem estar em um cabeçalho da mensagem, no corpo da mensagem ou em ambos.
Para obter informações sobre os tokens que são suportados em cada nó, consulte Identidade.
Um cache de segurança é fornecido para o resultado da autenticação, o que permite que as mensagens subsequentes (com as mesmas credenciais) que são recebidas no fluxo de mensagens sejam concluídas com o resultado armazenado em cache, desde que não tenha expirado.
Os provedores de segurança suportados pelo Message Broker para mapeamento de identidade são servidores de token de segurança (STS) compatíveis com WS-Trust V1.3 (como o TFIM V6.2) e o TFIM V6.1.
É fornecido um cache de segurança para o resultado do mapeamento de identidade.
Alternativamente, é possível utilizar um nó de SecurityPEP em qualquer ponto do fluxo de mensagens para mapear a identidade que foi autenticada no nó de entrada com segurança ativada. Para informações adicionais, consulte Chamando a Segurança de Fluxo de Mensagens Utilizando Um Nó de SecurityPEP.
Os provedores de segurança suportados pelo Message Broker para autorização são servidores de token de segurança LDAP compatíveis com WS-Trust V1.3 (como TFIM V6.2) e o TFIM V6.1.
É fornecido um cache de segurança para o resultado da autorização.
Alternativamente, é possível utilizar um nó de SecurityPEP em qualquer ponto no fluxo de mensagens para autorizar a identidade que foi autenticada no nó de entrada com segurança ativada. Para informações adicionais, consulte Chamando a Segurança de Fluxo de Mensagens Utilizando Um Nó de SecurityPEP.
Quando uma exceção de segurança for retornada ao nó de entrada com segurança ativada, ele executará a manipulação de transporte adequada e terminará a transação do fluxo de mensagens. Por exemplo, um nó de HTTPInput retorna um cabeçalho HTTP com um código de resposta HTTP 401, sem propagar para um terminal de saída. Um nó de SOAPInput retorna uma Falha SOAP, relatando a exceção de segurança. Alternativamente, se a propriedade Tratar exceções de segurança como normal estiver configurada no nó de entrada com segurança ativada, uma exceção de segurança é propagada para o terminal Failure do nó. O nó de entrada com segurança ativada propaga para seu terminal Out apenas se todas as operações configuradas no perfil de segurança associado forem concluídas com êxito.
Se o perfil de segurança indicar que a propagação é necessária, a identidade mapeada será utilizada. Se a identidade mapeada não estiver configurada ou se ela tiver um tipo de token não suportado pelo nó, a identidade da origem será utilizada. Se nenhuma identidade for configurada ou se nem a identidade mapeada nem a identidade de origem tiverem um tipo de token suportado pelo nó, uma exceção de segurança será retornada ao nó.
Os nós SOAP também exigem que o conjunto de políticas e as ligações adequadas para o perfil do token seja associado ao nó.
Se desejar incluir um token de segurança na mensagem emitida em um nó de saída, e se o nó de saída não puder propagar esse tipo de token, é possível utilizar um nó de cálculo (antes do nó de saída) para colocar o token a partir da árvore de propriedades no local de mensagens relevantes.
Para obter informações sobre os tokens que são suportados por nó individual, consulte Propagação do Token de Identidade e Segurança.