Para criar um perfil de segurança que usa um Security Token Server (STS)
compatível com WS-Trust V1.3, é possível usar o comando
mqsicreateconfigurableservice
configurando o parâmetro de configuração com a URL completa do STS.
A URL deve consistir no esquema de transporte, no nome do host, na porta e no
caminho. Para o terminal WS-Trust V1.3 do TFIM V6.2, o caminho é
/TrustServerWST13/services/RequestSecurityToken.
Por exemplo:
http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
Para criar um perfil de segurança que usa WS-Trust v1.3 para
mapeamento, insira o seguinte comando: mqsicreateconfigurableservice brokername -c SecurityProfiles
-o profilename -n mapping,mappingConfig
-v "WS-Trust v1.3 STS",http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
Se
a URL especificar um endereço que inicia com
https://,
uma conexão protegida por SSL será usada para pedidos para o servidor
WS-Trust v1.3. Por exemplo, para criar um perfil de segurança que usa uma conexão HTTPS
com WS-Trust v1.3 para mapeamento, insira o seguinte comando:
mqsicreateconfigurableservice brokername -c SecurityProfiles
-o profilename -n mapping,mappingConfig
-v "WS-Trust v1.3 STS",https://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
Além disso, para especificar a URL do perfil de segurança como um endereço que começa com
https://, você poderá configurar os seguintes parâmetros avançados, configurando as variáveis de ambiente do broker:
- MQSI_STS_SSL_PROTOCOL
- A versão do protocolo SSL a ser usada. Os valores
válidos são:
O valor inicial é SSLv3.
- MQSI_STS_SSL_ALLOWED_CIPHERS
- Uma lista separada por espaços das cifras de criptografia que podem ser usadas.
Para obter uma lista de todos os conjuntos de criptografia que são suportados pelo WebSphere Message Broker, consulte o Java™ de informações do produto para seu sistema operacional. Para sistemas operacionais que usam IBM® Java, consulte Apêndice A do Guia do IBM JSSE2: http://www.ibm.com/developerworks/java/jdk/security/60/secguides/jsse2Docs/JSSE2RefGuide.html
- MQSI_STS_REQUEST_TIMEOUT
- O tempo limite de solicitação STS, especificado em segundos. O valor inicial é 100. Para obter informações sobre como fornecer variáveis de ambiente para o broker, consulte Configurando um Ambiente de Comandos.
Se o STS do
WS-Trust v1.3 estiver selecionado para mais de uma operação (por exemplo,
para autenticação e mapeamento), a URL do servidor WS-Trust v1.3 deverá
ser idêntica para todas as operações e, portanto, especificada apenas
uma vez.
O exemplo a seguir cria um perfil de segurança que
usa TFIM V6.2 para autenticação, mapeamento e autorização:
mqsicreateconfigurableservice MYBROKER -c SecurityProfiles -o MyWSTrustProfile
-n authentication,mapping,authorization,propagation,mappingConfig
-v "WS-Trust v1.3 STS","WS-Trust v1.3 STS","WS-Trust v1.3 STS",TRUE,http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken