Use o WebSphere Message Broker, Tivoli Federated
Identity Manager (TFIM) V6.1 e o Tivoli Access
Manager (TAM) para controlar a autenticação, o mapeamento e a autorização.
O WebSphere Message Broker faz uma chamada TFIM
WS-Trust única para um nó de entrada que é configurado com um perfil de
segurança TFIM, o que significa que uma única cadeia de módulo deve ser
configurada para executar todas as operações de autenticação, mapeamento
e autorização necessárias.
O diagrama a seguir mostra a configuração do WebSphere Message Broker, TFIM e TAM para ativar a autenticação,
mapeamento e autorização de uma identidade em um fluxo de mensagens:
Os números no diagrama precedente correspondem à seguinte sequência de
eventos:
- Uma mensagem entra em um fluxo de mensagens.
- Um pedido WS-Trust é emitido pelo intermediário, com estas propriedades:
- RequestType = Validate
- Identity = Token(s) from input message
- Issuer = Issuer from input message
- AppliesTo Address = "Broker.ExecutionGroup.FlowName"
- PortType = "FlowName"
- Operation = "MessageFlowAccess"
- O TFIM seleciona uma cadeia de módulo para processar o pedido WS-Trust, com base nas propriedades AppliesTo Address e Issuer do pedido.
- Uma cadeia de módulo pode executar autenticação se incluir um módulo
(como um UsernameTokenSTSModule ou X509STSModule) no modo validate.
- Uma cadeia de módulo pode executar mapeamento utilizando um XSLTransformationModule
no modo mapping para manipular a informação da identidade.
- Uma cadeia de módulo pode executar autorização utilizando um AuthorizationSTSModule
no modo other. A cadeia de módulo deve ser configurada
com um valor Raiz do Objeto Protegida.
- O AuthorizationSTSModule executa a verificação de autorização
fazendo um pedido ao TAM com essas propriedades:
- O TAM processa o pedido de autorização:
- Localizando as ACLs (Listas de Controle de Acesso) associadas ao objeto protegido "<ProtectedObjectRoot>.<FlowName>.MessageFlowAccess".
- Verificando se as ACLs concedem a ação "i" no grupo de ações"WebService" ao usuário (com o usuário denominado diretamente ou por associação a um grupo denominado).
- A resposta de WS-Trust é retornada ao intermediário. Se esta ação é o resultado
de um pedido de mapeamento, a resposta de WS-Trust contém o token
de identidade mapeado.
Para obter informações adicionais sobre como configurar o TFIM e o TAM, consulte
centros
de informações do IBM®
Security Systems.