WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Autenticação, Mapeamento e Autorização com TFIM V6.2 e TAM

É possível usar o WebSphere Message Broker, o Tivoli Federated Identity Manager (TFIM) V6.2 e o Tivoli Access Manager (TAM) para controlar a autenticação, o mapeamento e a autorização.

WebSphere Message Broker faz uma única chamada TFIM WS-Trust para um nó de entrada ou nó SecurityPEP configurado com um perfil de segurança STS WS-Trust V1.3. Como resultado, uma única cadeia de módulo deve ser configurada para executar todas as operações de autenticação, de mapeamento e de autorização necessárias.

Ao usar um WS-Trust v1.3 STS para autenticação, autorização ou mapeamento, um pedido é feito para o serviço de confiança com os parâmetros a seguir, que controlam o processamento do STS. Se estiver usando o TFIM V6.2, estes parâmetros serão usados na seleção da cadeia do módulo TFIM:
Parâmetro Value
RequestType O tipo de pedido emitido para o serviço de confiança. Os valores válidos são:
Issue
Este valor pode ser especificado quando o mapeamento é a única operação configurada no STS WS-Trust V1.3 STS no perfil de segurança. Ele não será válido se o STS WS-Trust V1.3 for especificado para autenticação ou autorização.

O valor qualificado do espaço de nomes é http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue, que é mostrado no TFIM V6.2 como Emitir URI do Oasis.

Validate
Este valor deve ser configurado quando o perfil de segurança também incluir autenticação ou autorização (além do mapeamento) para o mesmo provedor STS WS-Trust V1.3.

O valor qualificado do espaço de nomes é http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate, que é mostrado no TFIM V6.2 como Validar URI do Oasis.

Issuer Este valor é determinado pela configuração efetiva da propriedade IssuedBy na guia Básico do nó SecurityPEP ou a guia Segurança do nó de entrada.
AppliesTo Este valor é determinado pelo tipo de nó:
Nó MQInput ou SCAInput com ligação de MQ:
O IRI do WebSphere MQ da fila de entrada do nó, por exemplo:
wmq://msg/queue/queue_name@queue_manager_name
Nó HTTPInput, SOAPInput ou SOAPAsyncResponse com ligação HTTP:
A URL do terminal; por exemplo:
http://myflow/myInputNodePath
Nó SecurityPEP com um endereço WS-Trust AppliesTo padrão (em branco):
O URN para o fluxo de mensagens que contém o nó; por exemplo:
urn:/broker_name.execution_group_name.flow_name
Nó SecurityPEP com endereço WS-Trust AppliesTo configurado na guia Avançado do nó:
O valor do URI configurado na propriedade. Este valor é geralmente a URL do serviço de destino que é usado quando você invoca uma operação de mapeamento para obter o token necessário para o nó do pedido a seguir; por exemplo:
http://remotehost.ibm.com:9080/targetservice
Também é possível configurar as propriedades nome do serviço AppliesTo e tipo de porta AppliesTo na guia Avançado do nó. O pedido de WS-Trust inclui estes elementos opcionais apenas quando eles são configurados. Estes valores são geralmente QNames válidos; por exemplo:
http://myservice.mycom.com:myservicename
Quando você configura estas propriedades no nó SecurityPEP, é necessário configurá-las na cadeia do módulo TFIM:
  • Nas propriedades TFIM de tipo de porta e nome do serviço, as informações à esquerda dos dois pontos devem corresponder ao URI do espaço de nome WS-Addressing que é usado para os elementos PortType e ServiceName no pedido de WS-Trust configurado pelo broker, que é:
    http://www.w3.org/2005/08/addressing
  • As informações à direita dos dois pontos nas propriedades TFIM de nome do serviço e tipo de porta devem corresponder ao valor configurado no nó SecurityPEP. Também é possível configurar uma expressão regular no TFIM para especificar uma correspondência.

Esta seção descreve uma configuração de autorização que você pode usar para executar a operação de autorização com o TFIM V6.2 e o TAM.

No perfil de segurança, configure o terminal TFIM V6.2 para a operação de autorização. Quando uma cadeia de módulo é criada para ser usada por um nó de entrada ativado para segurança ou um nó SecurityPEP e resolvida pelas informações de AppliesTo, é necessário incluir o TAMAuthorizationSTModule do TFIM para invocar a autorização do TAM.

O TAMAuthorizationSTSModule requer os seguintes atributos de contexto do usuário universal do TFIM STS:
PrincipalName
O nome de usuário a ser autorizado. Este nome de usuário deve existir em seu repositório do usuário TAM.
ObjectName
O nome do objeto TAM do recurso no qual uma verificação de autorização deve ser feita. Geralmente isto é derivado das informações de AppliesTo que são transmitidas pelo gerenciador de segurança do fluxo de mensagens a partir do nó de entrada ativado para segurança ou do nó SecurityPEP.
Ação
A ação do TAM a ser autorizada; por exemplo, x (eXecute).

A Lista de Controle de Acesso (ACL) do TAM, a qual determina a decisão de autorização, está localizada no espaço de objeto protegido pelo TAM usando o caminho que está configurado no atributo ObjectName da entrada do contexto do usuário universal do TFIM STS para o módulo TAMAuthorizationSTSModule.

O diagrama a seguir mostra a configuração do WebSphere Message Broker, TFIM V6.2 e TAM para ativar autenticação, mapeamento e autorização de uma identidade em um fluxo de mensagens:

Diagrama mostrando o fluxo da interação entre o Message Broker, o TFIM V6.2 e o TAM.

Os números no diagrama precedente correspondem à seguinte sequência de eventos:
  1. Uma mensagem entra em um fluxo de mensagens.
  2. Um pedido de WS-Trust é emitido pelo broker, com as propriedades RequestType, Issuer e AppliesTo configuradas.
  3. O TFIM seleciona uma cadeia de módulo para processar o pedido de WS-Trust, com base nas propriedades RequestType, Issuer e AppliesTo do pedido.
  4. Uma cadeia de módulo pode executar a autenticação se ela incluir um módulo no modo Validate que é apropriado para o tipo de token que está sendo transmitido no pedido da mensagem de entrada do fluxo de mensagens. Por exemplo, um token Nome de Usuário e Senha pode ser autenticado usando um UsernameTokenSTSModule.
  5. A cadeia de módulo deve executar algum mapeamento usando um XSLTransformationModule no modo de mapeamento para manipular as informações de identificação e para fornecer os atributos de contexto necessários no objeto do TFIM stsuser para uso pelos módulos subsequentes.
  6. Uma cadeia de módulo pode executar a autorização no TAM usando o TAMAuthorizationSTSModule.
  7. O TAMAuthorizationSTSModule executa a verificação de autorização fazendo um pedido ao TAM com essas propriedades:
    • Action = a (em que a é o atributo de ação de contexto de stsuser). Por exemplo, x para eXecutar poderia ser configurado usando o código a seguir:
      <stsuuser:ContextAttributes>
          <!-- Action -->
          <stsuuser:Attribute name="Action" type="urn:ibm:names:ITFIM:stsmodule:tamazn">
            <stsuuser:Value>x</stsuuser:Value>
          </stsuuser:Attribute>
        </stsuuser:ContextAttributes>
    • Action Group = WebService
    • Protected Object = ProtectedObjectName (em que ProtectedObjectName é o atributo de ação de contexto stsuser). Por exemplo, x para eXecutar poderia ser configurado usando o código a seguir:
      <stsuuser:ContextAttributes>
          <!-- ObjectName -->
          <stsuuser:Attribute name="ObjectName" type="urn:ibm:names:ITFIM:stsmodule:tamazn">
            <stsuuser:Value>ProtectedObjectName</stsuuser:Value>
          </stsuuser:Attribute>
        </stsuuser:ContextAttributes>
      Geralmente, ProtectedObjectName é configurado condicionalmente a partir das informações de AppliesTo no pedido.
  8. O TAM processa o pedido de autorização:
    1. Localizando Listas de Controle de Acesso (ACLs) associadas ao objeto protegido ProtectedObjectName
    2. Verificando se as ACLs concedem a ação a no grupo de ações WebService ao usuário (o usuário é nomeado direta ou indiretamente, através da associação de um grupo definido).
  9. A resposta de WS-Trust é retornada ao intermediário. Se esta ação é o resultado de um pedido de mapeamento, a resposta de WS-Trust contém o token de identidade mapeado.

Para obter informações adicionais sobre como configurar o TFIM e o TAM, consulte centros de informações do IBM® Security Systems.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:31:42


Tópico de ConceitoTópico de Conceito | Versão 8.0.0.5 | bp28100_