WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Chamando a Segurança de Fluxo de Mensagens Utilizando um Nó de Entrada com Segurança Ativada

É possível chamar o gerenciador de segurança do fluxo de mensagens configurando um nó de entrada com segurança ativada.

O diagrama a seguir mostra um fluxo de mensagem de exemplo e lhe apresenta um visão geral da sequência de eventos que ocorre quando uma mensagem de entrada é recebida por um nó de entrada com segurança ativada no fluxo de mensagens:

Diagrama mostrando a sequência de eventos que ocorre quando uma mensagem chega em um nó de entrada com segurança ativada em um fluxo de mensagens.
As etapas a seguir explicam a sequência de eventos que ocorre quando um mensagem chega em um nó de entrada com segurança ativada no fluxo de mensagens. Os números correspondem aos do diagrama precedente:
  1. Quando uma mensagem chega em um nó de entrada com segurança ativada (MQ, HTTP, SCA ou SOAP), a presença de um perfil de segurança associado ao nó indica se a segurança do fluxo de mensagens está configurada. Os nós SOAP podem implementar alguns dos recursos de Segurança WS sem utilizar o gerenciador de segurança do broker. Para obter informações adicionais, consulte Implementando WS-Security. O gerenciador de segurança do broker é chamado para ler o perfil, que especifica a combinação de propagação, autenticação, autorização e mapeamento a serem executados com a identidade da mensagem. Ele também especifica o provedor de segurança externo (também conhecido como o Ponto de Decisão de Política ou PDP) a ser utilizado.

    É possível criar os perfis de segurança utilizando o comando mqsicreateconfigurableservice ou um editor no WebSphere Message Broker Explorer. Você então utiliza o editor Broker Archive para configurar o perfil de segurança em um nó individual ou no fluxo de mensagens inteiro. Se você associar o perfil de segurança ao fluxo de mensagens, o perfil de segurança aplica-se a todos os nós de entrada e saída com segurança ativada e aos nós do SecurityPEP no fluxo de mensagens. Todavia, um perfil de segurança que está associado a um nó individual tem precedência sobre um perfil de segurança que está associado ao fluxo de mensagens. Um perfil de segurança predefinido, chamado Propagação padrão, é fornecido para configuração da propagação de identidade. Para configurar explicitamente um nó sem segurança, configure o perfil de segurança como No security.

  2. Se um perfil de segurança estiver associado ao nó ou fluxo de mensagens, o nó de entrada com segurança ativada extrai as informações de identificação da mensagem de entrada (com base na configuração da página de propriedades de Segurança do nó) e configura os elemento de Identidade da Origem na pasta Propriedades. Se os tokens de segurança não puderem ser extraídos com êxito, uma exceção de segurança será gerada.

    Se você necessitar de um nó de SOAPInput para utilizar a identidade no cabeçalho de Segurança WS (em vez de uma identidade de transporte subjacente), você também deve definir e especificar um conjunto de políticas e ligações adequadas para o perfil do token relevante. Para informações adicionais, consulte Conjuntos de Políticas.

    Para nós de entrada MQ, HTTP ou SCA, a página de propriedades Segurança é utilizada para configurar a extração da identidade. Isso faz com que Padrão de Transporte seja assumido como padrão. Por exemplo, um nó do HTTPInput extrai um nome de usuário e uma senha do cabeçalho HTTP BasicAuth. A página de propriedades Segurança permite que o tipo de token de Identidade e sua localização sejam explicitamente configuradas para controlar a extração. Essas informações de identificação da origem podem estar em um cabeçalho da mensagem, no corpo da mensagem ou em ambos.

    Para obter informações sobre os tokens que são suportados em cada nó, consulte Identidade.

  3. Se a autenticação for especificada no perfil de segurança, o gerenciador de segurança chama o provedor de segurança configurado para autenticar a identidade. Uma falha resulta no retorno de uma exceção de segurança ao nó. Os provedores de segurança suportados pelo Message Broker para autenticação são servidores de token de segurança (STS) LDAP compatíveis com WS-Trust v1.3 (como o TFIM V6.2) e o TFIM V6.1.

    Um cache de segurança é fornecido para o resultado da autenticação, o que permite que as mensagens subsequentes (com as mesmas credenciais) que são recebidas no fluxo de mensagens sejam concluídas com o resultado armazenado em cache, desde que não tenha expirado.

  4. Se o mapeamento de identidade for especificado no perfil de segurança, o gerenciador de segurança chama o provedor de segurança configurado para mapear a identidade em uma identidade alternativa. Uma falha resulta no retorno de uma exceção de segurança ao nó. Caso contrário, as informações de identidade mapeadas serão configuradas nos elementos de Identidade Mapeada na pasta Propriedades.

    Os provedores de segurança suportados pelo Message Broker para mapeamento de identidade são servidores de token de segurança (STS) compatíveis com WS-Trust V1.3 (como o TFIM V6.2) e o TFIM V6.1.

    É fornecido um cache de segurança para o resultado do mapeamento de identidade.

    Alternativamente, é possível utilizar um nó de SecurityPEP em qualquer ponto do fluxo de mensagens para mapear a identidade que foi autenticada no nó de entrada com segurança ativada. Para informações adicionais, consulte Chamando a Segurança de Fluxo de Mensagens Utilizando Um Nó de SecurityPEP.

  5. Se a autorização for especificada no perfil de segurança, o gerenciador de segurança chama o provedor de segurança configurado para autorizar se a identidade (seja mapeada ou de origem) tem acesso a esse fluxo de mensagens. Uma falha resulta no retorno de uma exceção de segurança ao nó.

    Os provedores de segurança suportados pelo Message Broker para autorização são servidores de token de segurança LDAP compatíveis com WS-Trust V1.3 (como TFIM V6.2) e o TFIM V6.1.

    É fornecido um cache de segurança para o resultado da autorização.

    Alternativamente, é possível utilizar um nó de SecurityPEP em qualquer ponto no fluxo de mensagens para autorizar a identidade que foi autenticada no nó de entrada com segurança ativada. Para informações adicionais, consulte Chamando a Segurança de Fluxo de Mensagens Utilizando Um Nó de SecurityPEP.

  6. Quando todo o processamento de segurança estiver concluído ou quando uma exceção de segurança for gerada pelo gerenciador de segurança do fluxo de mensagens, o controle retornará ao nó de entrada.

    Quando uma exceção de segurança for retornada ao nó de entrada com segurança ativada, ele executará a manipulação de transporte adequada e terminará a transação do fluxo de mensagens. Por exemplo, um nó de HTTPInput retorna um cabeçalho HTTP com um código de resposta HTTP 401, sem propagar para um terminal de saída. Um nó de SOAPInput retorna uma Falha SOAP, relatando a exceção de segurança. Alternativamente, se a propriedade Tratar exceções de segurança como normal estiver configurada no nó de entrada com segurança ativada, uma exceção de segurança é propagada para o terminal Failure do nó. O nó de entrada com segurança ativada propaga para seu terminal Out apenas se todas as operações configuradas no perfil de segurança associado forem concluídas com êxito.

  7. A mensagem, incluindo a pasta Propriedades e suas informações de identificação de origem e mapeada, é propagada para o fluxo de mensagens.
  8. Em nós subsequentes no fluxo de mensagens, uma identidade pode ser necessária para acessar um recurso tal como um banco de dados. A identidade usada para acessar um recurso desse tipo é uma identidade de proxy, a identidade do broker ou uma identidade configurada para o recurso específico usando o comando mqsisetdbparms.
  9. Quando você está desenvolvendo um fluxo de mensagens, é possível usar os campos de identidade na pasta Propriedades para processamento do aplicativo (por exemplo, roteamento baseado em identidade ou criação de conteúdo baseada na identidade). Além disso, como alternativa para chamada do mapeamento através de um STS ativada para WS-Trust V1.3 (como TFIM V6.2) ou TFIM V6.1, é possível configurar os campos de identidade mapeados em um nó de cálculo, como um nó Compute, JavaCompute, PHPCompute ou Mapeamento.
  10. Quando a mensagem atingir um nó de saída ou de pedido com segurança ativada (MQOutput, HTTPRequest, SOAPRequest ou SOAPAsyncRequest), um perfil de segurança (com propagação ativada) associado ao nó indicará que o token de identidade atual deve ser propagado quando a mensagem for enviada.

    Se o perfil de segurança indicar que a propagação é necessária, a identidade mapeada será utilizada. Se a identidade mapeada não estiver configurada ou se ela tiver um tipo de token não suportado pelo nó, a identidade da origem será utilizada. Se nenhuma identidade for configurada ou se nem a identidade mapeada nem a identidade de origem tiverem um tipo de token suportado pelo nó, uma exceção de segurança será retornada ao nó.

    Os nós SOAP também exigem que o conjunto de políticas e as ligações adequadas para o perfil do token seja associado ao nó.

    Se desejar incluir um token de segurança na mensagem emitida em um nó de saída, e se o nó de saída não puder propagar esse tipo de token, é possível utilizar um nó de cálculo (antes do nó de saída) para colocar o token a partir da árvore de propriedades no local de mensagens relevantes.

    Para obter informações sobre os tokens que são suportados por nó individual, consulte Propagação do Token de Identidade e Segurança.

  11. A identidade propagada é incluída no cabeçalho da mensagem apropriado durante seu envio.
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:31:42


Tópico de ConceitoTópico de Conceito | Versão 8.0.0.5 | bp28150_