WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Configurando a Extração de uma Identidade ou Token de Segurança

É possível configurar o nó SecurityPEP ou os nós de entrada com segurança ativada para extrair o token de identidade ou de segurança de uma mensagem e armazená-lo nos campos de identidade da árvore de propriedades, permitindo que seja processado durante o fluxo de mensagens e propagado nos nós de saída ou de solicitação.

Antes de começar:

Verifique se existe um perfil de segurança apropriado ou crie um novo perfil de segurança. Consulte o Criando um Perfil de Segurança.

Se um nó de entrada ou um nó SecurityPEPestiver associado a um perfil que especifique uma operação de segurança (autenticação, mapeamento ou autorização), ou que especifique propagação como ativado, o nó poderá recuperar um token de identidade ou de segurança a partir do fluxo de bits de mensagem.
  • Um nó de MQInput, com o conjunto de propriedades de segurança Tipo de token de identidade para Transporte padrão, recupera o elemento UserIdentifier a partir do descritor de mensagem (MQMD) e o coloca no elemento Token de Origem de Identidade da pasta Propriedades. Ao mesmo tempo, ele configura o elemento Tipo de Origem da Identidade como username e o Elemento Origem da Identidade Emitida por como MQMD.PutApplName (o nome do aplicativo put).
  • Um nó de HTTPInput, com o conjunto de propriedades de segurança Tipo de token de identidade para Transporte padrão, recupera o cabeçalho BasicAuth a partir do pedido HTTP, o decodifica e o coloca nos elementos Token de Origem de Identidade e Senha na pasta Propriedades. Ao mesmo tempo, ele configura o elemento Tipo de Origem de Identidade como nome de usuário + Senha e o elemento Origem de Identidade Emitida Por como a propriedade UserAgent do cabeçalho HTTP.
  • Um nó de SOAPInput recupera os tokens adequados como definido pelos conjuntos de políticas e de ligações de Segurança WS configurado ou (se eles não estiverem configurados), a ligação de transporte determina o tipo de token, por exemplo, o transporte HTTP é BasicAuth. O nó de SOAPInput então preenche os campos de origem de identidade na pasta Propriedades com os tokens recuperados. Com um conjunto de políticas e de ligações do Kerberos, o tipo de token é um Nome de Usuário contendo o SPN (Service Principal Name) a partir do bilhete do Kerberos.
  • O nó de SecurityPEP, com o conjunto de propriedades Tipo de token de identidade como Token atual, pode utilizar o token que foi extraído por um nó de entrada ou de SecurityPEP do fluxo e armazenado na pasta Propriedades.

Em alguns casos, as informações extraídas dos cabeçalhos de transporte não são configuradas ou são insuficientes para executar a autenticação ou a autorização. Por exemplo, para a autenticação ocorrer, um token de tipo Nome de Usuário + Senha é necessário; entretanto, com o WebSphere MQ, somente um nome de usuário está disponível, que significa que a identidade recebida precisa ser confiável. Entretanto, você pode aumentar a segurança aplicando a segurança do nível de transporte utilizando o WebSphere MQ Extended Security Edition.

Se o cabeçalho de transporte não puder fornecer as credenciais de identidade necessárias, as informações devem ser fornecidas como parte do corpo da mensagem de chegada. Para permitir que as informações de identificação sejam extraídas do corpo da mensagem, você deve especificar o local das informações utilizando a guia Segurança nos nós de entrada HTTP, MQ e SCA ou a guia Básico no nó de SecurityPEP, ou através da configuração do conjunto de políticas e de ligações do perfil de Segurança WS no nó SOAP. Um nó SOAP com um conjunto de políticas e de ligações do Kerberos extrai um token de Nome de Usuário contendo o Service Principal Name (SPN) do ticket Kerberos.

  1. Em Tipo de Token de Identidade, especifique o tipo de token de identidade que está na mensagem. O tipo pode ter um dos seguintes valores:
    • Padrão de Transporte(nos nós de entrada ativados para segurança)
    • Token Atual (no nó SecurityPEP)
    • Nome de Usuário
    • Nome de Usuário e Senha
    • Certificado X.509
    • Asserção SAML
    • Kerberos GSS v5 AP_REQ (no nó de SecurityPEP)
    • Token de LTPA v2 (no nó de SecurityPEP)
    • Token Universal WSSE (no nó de SecurityPEP)
    Nos nós de entrada com segurança ativada, o valor padrão é Padrão de Transporte. No nó SecurityPEP, o valor-padrão é Token Atual, que significa que o tipo de token que existe na identidade mapeada ou no campo de origem na pasta Propriedades é usado.
  2. Em Local do Token de Identidade, especifique o local na mensagem em que a identidade está especificada. Esta cadeia está no formato de uma referência de campo ESQL, expressão XPath ou cadeia literal, e deve resolver para um token com o tipo Nome de usuário, Nome do usuário e senha, Asserção da SAML, Kerberos GSS v5 AP_REQ, Token LTPA v2 ou Certificado X.509. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.).
  3. Em Local da Senha de Identidade, digite o local na mensagem em que a senha está especificada. Esta cadeia está na forma de uma referência de campo ESQL, expressão XPath ou cadeia literal e deve resolver para uma cadeia contendo uma senha. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.). Esta opção pode ser configurada apenas se o Tipo de Token de Identidade for configurado como Nome de usuário e senha.
  4. No Local IssuedBy de Identidade, especifique uma cadeia ou expressão de caminho para mostrar onde (na mensagem) as informações sobre o emissor da identidade serão retidas. Esta cadeia está na forma de uma referência de campo ESQL, expressão XPath ou cadeia literal, definindo onde a identidade foi definida. Se usar uma cadeia literal, ela deverá ser colocada entre aspas simples e não deverá conter um ponto (.).

    Se você deixar esta propriedade em branco nos nós de entrada ativados para segurança, o valor do cabeçalho de transporte será usado (se houver um). Por exemplo, para MQ, será utilizado o valor MQMD.PutApplName. Se você deixar este propriedade em branco no nó SecurityPEP, o pedido WS-Trust é enviado ao STS sem o elemento Issuer opcional na mensagem WS-Trust.

  5. (Opcional) Assegure que todos os nós de entrada compartilhem as mesmas informações promovendo as propriedades para o fluxo de mensagens.
Para permitir a extração de uma identidade em um nó de entrada com segurança ativada ou um nó SecurityPEP, selecione um perfil de segurança que tenha pelo menos uma operação de segurança configurada (autenticação, mapeamento ou autorização) ou propagação ativada:
  1. No WebSphere Message Broker Toolkit, clique com o botão direito no arquivo BAR, em seguida, clique em Abrir com > Editor Broker Archive.
  2. Clique na guia Gerenciar e Configurar.
  3. Clique no fluxo ou nó no qual deseja configurar o perfil de segurança. As propriedades que podem ser configuradas ara o fluxo de mensagens ou para o nó serão exibidas na visualização Propriedades.
  4. No campo Nome do Perfil de Segurança, selecione um perfil de segurança.
  5. Salve o arquivo BAR.
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:30:15


Tópico de TarefaTópico de Tarefa | Versão 8.0.0.5 | ap04110_