O WebSphere Message Broker fornece um gerenciador de segurança para implementação da segurança do fluxo de mensagens, para que o processamento de ponta a ponta de uma mensagem através de um fluxo de mensagens seja protegido com base em uma identidade transportada nessa instância de mensagem.
Para obter detalhes dos provedores externos suportados e da operação do gerenciador de segurança de fluxo de mensagens, consulte Visão Geral de Segurança do Fluxo de Mensagens. Para obter informações sobre os tipos de token suportados pelos nós SOAP e por provedores de segurança externos, consulte Identidade.
Quando o fluxo de mensagens for um serviço da Web implementado usando Nós SOAP e a identidade precisar ser obtida de cabeçalhos SOAP WS-Security, os nós SOAP serão o Policy Enforcement Point (PEP) e o provedor externo definido pelos Perfis de Segurança será o Policy Decision Point (PDP).
Como alternativa à segurança do fluxo de mensagens e um PDP externo, o armazenamento confiável do broker poderá ser utilizado como um PDP loca para autenticação de certificado X.509. Para assinatura e criptografia de Segurança WS utilizando apenas o recurso do broker local, você deve configurar o armazenamento confiável do broker. Para obter detalhes, consulte Visualizando e Configurando Propriedades do Tempo de Execução do Armazenamento de Chaves e do Armazenamento de Confiança em nível intermediário ou Visualizando e Configurando Propriedades do Tempo de Execução do Armazenamento de Chaves e do Armazenamento de Confiança em nível de grupo de execução.
A Segurança WS baseada em Kerberos é suportada nos nós SOAP. Quando você utiliza o Kerberos para segurança, o processamento de Segurança WS do nó SOAP é vinculado diretamente à infraestrutura do Kerberos do host. O host do broker deve ser configurado para Kerberos, fornecendo um arquivo krb.conf para definir o KDC (Key Distribution Center) do Kerberos e a região padrão. Um arquivo keytab do Kerberos também deve ser configurado. Para obter informações sobre a configuração do Kerberos, consulte a documentação do Kerberos do seu host.