WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Mapeamento de Identidade

Mapeamento de identidade é a transformação de um token de segurança de um formato em outro formato, ou a federação de uma identidade de uma região em uma identidade equivalente em outra região.

Diagrama que mostra o mapeamento de identidade.

WebSphere Message Broker fornece suporte para mapeamento de identidade (também conhecido como federação de identidade) e emissão e troca de token. O mapeamento de identidade é o processo de mapeamento de uma identidade em uma região para outra identidade em uma região diferente. Por exemplo, você pode mapear User001 da região eSellers para eSellerUser01 na região eShipping. O intercâmbio e a troca de token envolve o mapeamento de um token de um tipo para um token de um tipo diferente. Por exemplo, um token Nome de Usuário e Senha recebido de um cliente sobre MQ pode ser mapeado para uma asserção SAML equivalente, a ser propagada para uma chamada do Web Services. Alternativamente, você pode trocar uma asserção SAML 1.1 de um aplicativo cliente por uma asserção SAML 2.0 equivalente para um servidor backend atualizado.

Mapeamento Usando um Provedor WS-Trust

O gerenciador de segurança do WebSphere Message Broker suporta operações de mapeamento através de servidores de token de segurança (STS) compatíveis com WS-Trust V1.3, tal como o IBM® Tivoli Federated Identity Manager (TFIM) V6.2. O mapeamento é executado para nós SecurityPEP e nós de entrada que possuem um perfil de segurança associado que inclui uma operação de mapeamento configurada com um STS WS-Trust V1.3.

O WS-Trust V1.3 (TFIM V6.2) também pode ser selecionado para autorização e autenticação no perfil. Entretanto, se mais de uma operação de segurança estiver associada ao perfil de segurança, apenas um pedido WS-Trust será emitido ao STS. Como resultado, o STS deve ser configurado para executar todas as operações necessárias. Por exemplo, se um servidor TFIM V 6.2 for especificado, a cadeia de módulos TFIM chamada deverá incluir os módulos de validação, de autorização e de emissão adequados. Se desejar que cada operação seja executada através de uma chamada WS-Trust separada, será necessário usar uma série de nós SecurityPEP, cada um associado a um perfil de segurança diferente que está configurado para apenas uma operação de segurança (autenticação, autorização ou mapeamento).

Se o perfil de segurança especificar apenas mapeamento com STS WS-Trust v1.3, o pedido será enviado a um tipo de pedido de Emissão, enquanto que um conjunto misto das operações de segurança envia um tipo de pedido de Validação. Quando o mapeamento é incluído, o STS deve retornar um token em sua resposta, mesmo se ele for o token original; caso contrário, ocorrerá um erro.

Para fornecer compatibilidade com versões anteriores do WebSphere Message Broker, também é fornecido suporte para TFIM V6.1.

No broker, o mapeamento de identidade é executado no nó de entrada ou nó SecurityPEP, após a autenticação mas antes da autorização. A identidade de origem é transmitida para um mapeador de identidade para processamento. Se o mapeamento e a autorização forem configurados, a operação de autorização usará o token de saída mapeado em vez do token de origem, o que significa que a autorização é executada na identidade associada.

O mapeamento não é desempenhado em nós de saída, mesmo que o nó tenha sido configurado em um perfil de segurança.

O WebSphere Message Broker suporta mapeamento entre qualquer tipo de token de segurança que é suportado pelo provedor de segurança configurado. Para obter informações adicionais sobre o suporte fornecido, consulte Identidade.

ao mapear a partir de um globally X.509, o TFIM pode validar o certificado mas não pode verificar a identidade do emissor original. Entretanto, se for necessária, esta verificação de integridade de verificação pode ser executada pelo nó SOAPInput. Para obter mais informações, consulte Mecanismos do WS-Security.

Para obter informações adicionais sobre como usar TFIM V6.2 para mapeamento, consulte Autenticação, Mapeamento e Autorização com TFIM V6.2 e TAM.

Para obter informações sobre como usar o TFIM V6.1, consulte Autenticação, Mapeamento e Autorização com TFIM V6.1 e TAM.

Mapeamento Definido pelo Usuário

Quando você desenvolve um fluxo de mensagens, é possível implementar um mapeamento de token customizado para ser usado para propagação de identidade. Por exemplo, é possível implementar um mapeamento de token customizado utilizando um nó de cálculo (que pode ser um nó de Compute, JavaCompute ou PHPCompute) depois do nó de entrada. No nó de cálculo, é possível ler os valores de identidade da origem na pasta Propriedades, processá-los e, em seguida, gravar os novos valores de identidade nos campos de identidade mapeados. Se não houver identidade fornecida na mensagem, ainda é possível utilizar um nó de cálculo para inserir algumas credenciais de identidade nos campos de identidade mapeada. Os campos de identidade mapeada são então utilizados em vez dos campos de identidade de origem pelos nós subsequentes. Todas as operações de segurança configuradas no nó de entrada são executadas utilizando-se a identidade de origem, antes de você poder criar uma nova identidade nos campos de identidade mapeada (utilizando o nó de cálculo). Todavia, é possível incluir um nó de SecurityPEP depois do seu nó de cálculo ter criado uma nova identidade mapeada.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:30:15


Tópico de ConceitoTópico de Conceito | Versão 8.0.0.5 | ap04030_