WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Identidade

No WebSphere Message Broker, uma identidade é um token de segurança que identifica exclusivamente um indivíduo, ou que fornece um conjunto de asserções que podem ser validadas.

Quando um nó SecurityPEP ou um nó de entrada suportado é configurado com um perfil de segurança, a identidade extraída é mantida no broker como oito propriedades na pasta Propriedades da estrutura da árvore de mensagens. Essas propriedades definem duas identidades no broker: origem e mapeada. Para as identidades de origem e mapeadas, os valores são mantidos para as propriedades Tipo, Token, Senha e IssuedBy:

Diagrama que mostra as oito propriedades da identidade.

A propriedade Tipo de token de identidade nos nós de entrada de segurança ativada podem ser configurados para um valorPadrão de Transporte, que faz com que o tipo de token seja criado a partir do cabeçalho de identidade padrão ou dos campos do transporte. Para WebSphere MQ, Padrão de Transporte fornece um tipo de identidade Nome de Usuário. Para HTTP, Padrão de Transporte fornece um tipo de identidade de Nome de Usuário e Senha. A propriedade de tipo do token de Identidade no nó de SecurityPEP pode ser definida como Token Atual, que a ativa para utilizar a identidade nos campos da pasta Propriedades em vez de extrair uma nova identidade da mensagem.

A tabela a seguir mostra o suporte que é fornecido (pelo gerenciador de segurança do fluxo de mensagens e provedores de segurança externos) para a extração de diferentes tipos de tokens de segurança. Para obter informações sobre os tipos de tokens que são suportados para propagação de identidade, consulte Propagação do Token de Identidade e Segurança.

Tabela 1. Suporte Para Tipos de Token de Segurança - Extração de Token
Tipo de token (formato) O suporte do gerenciador de segurança do broker para a extração de tokens Suporte do fornecedor de segurança externo
Username Tokens de Nome de Usuário são suportados para extração pelos seguintes nós:
  • HTTPInput
  • MQInput
  • EntradaSCA
  • RespostaAssíncronaSCA
  • SecurityPEP
  • SOAPInput
O token é obtido a partir de um dos seguintes cabeçalhos de transporte:
  • MQ
    • Do ID do usuário MQMD
  • HTTP
    • Do cabeçalho HTTP BasicAuth contendo apenas parte de um nome de usuário
  • SOAP
    • De um cabeçalho WS-Security UsernameToken. O conjunto de política e a ligação (associados ao nó SOAP) devem definir um perfil de nome de usuário, enquanto o wsse:UsernameToken deve conter apenas um elemento wsse:Username.
    • A partir do assunto do Kerberos em um cabeçalho de Segurança WS. O conjunto de políticas e de ligações (associado ao nó SOAP) deve definir um perfil do Kerberos.
    • Do cabeçalho HTTP BasicAuth contendo apenas parte do nome de um usuário se nenhum conjunto de política estiver definido no nó SOAP.
Como alternativa, o token pode ser obtido de qualquer parte da árvore de mensagens quando o local do token é especificado (no nó) usando uma expressão XPath ou o caminho do campo ESQL.

O valor da cadeia literal utilizado pelo broker (e que é possível utilizar para especificar o tipo de token em um programa ESQL ou Java™) é username.

LDAP: Autorização

Nome de Usuário e Senha
ou
Nome de Usuário e RACF PassTicket

Os tokens de Nome de usuário e senha são suportados para extração pelos seguintes nós:
  • HTTPInput
  • MQInput
  • EntradaSCA
  • SecurityPEP
  • RespostaAssíncronaSCA
  • SOAPInput
O token é obtido a partir de um dos seguintes cabeçalhos de transporte:
  • HTTP
    • Do cabeçalho HTTP BasicAuth contendo parte de um nome de usuário ou senha
  • SOAP
    • De um cabeçalho WS-Security UsernameToken. O conjunto de política e a ligação (associados ao nó SOAP) devem definir um perfil de nome de usuário, enquanto o wsse:UsernameToken deve conter os elementos wsse:Username e wsse:Password.
    • Do cabeçalho HTTP BasicAuth contendo apenas parte do nome de um usuário se nenhum conjunto de política estiver definido no nó SOAP
Como alternativa, o token pode ser obtido de qualquer parte da árvore de mensagens quando o local do token é especificado (no nó) usando uma expressão XPath ou um caminho ESQL.

O token de senha pode transportar uma senha não criptografada ou um RACF PassTicket. Se estiver utilizando um STS WS-Trust V1.3 (como TFIM V6.2), é possível utilizá-lo para mapear (emitir) ou validar RACF PassTickets, especificando o tipo de token com Nome de usuário e senha. Esse suporte está disponível com nós de entrada com segurança ativada e nós de SecurityPEP.

O valor da cadeia literal utilizado pelo broker (e que é possível utilizar para especificar o tipo de token em um programa ESQL ou Java) é usernameAndPassword.

LDAP:
  • Autenticação
  • Autorização
TFIM V6.1:
  • Autenticação
  • Mapeamento
  • Autorização
WS-Trust V1.3 STS (incluindo TFIM V6.2):
  • Autenticação
  • Mapeamento
  • Autorização
Asserção do SAML Tokens da SAML são suportados para extração pelos seguintes nós:
  • SecurityPEP
  • MQInput
  • HTTPInput
  • EntradaSCA
  • RespostaAssíncronaSCA
  • SOAPInput
O token é obtido a partir de um dos seguintes locais:
  • SOAP
    • A partir de um cabeçalho WS-Security. O conjunto de políticas e a ligação (associados ao nó SOAP) devem definir um perfil de SAML.
  • Qualquer parte da árvore de mensagens quando o local do token é especificada usando uma expressão XPath ou um caminho ESQL.

O valor da cadeia literal utilizado pelo broker (e que é possível utilizar para especificar o tipo de token em um programa ESQL ou Java) é SAML.

WS-Trust V1.3 STS (incluindo TFIM V6.2):
  • Autenticação
  • Mapeamento
  • Autorização
Kerberos GSS v5 AP_REQ Os bilhetes do Kerberos são suportados para processamento pelo gerenciador de segurança do fluxo de mensagens a partir de um nó de SecurityPEP. O perfil do token Kerberos do WS-Security é suportado pelos seguintes nós SOAP, mas neste caso, o Centro de Distribuição da Chave Kerberos comunica-se diretamente, e a pasta de propriedades é preenchida com um token de Nome do Usuário representando o assunto Kerberos:
  • SOAPInput

O token é obtido a partir de qualquer parte da árvore de mensagens em um nó de SecurityPEP, se o local do token for especificado utilizando uma expressão XPath ou caminho ESQL.

O valor da cadeia literal utilizado pelo broker (e que é possível utilizar especificar o tipo de token em um programa ESQL ou Java) é kerberosTicket.

WS-Trust V1.3 STS (incluindo TFIM V6.2):
  • Autenticação
  • Mapeamento
  • Autorização
Token LTPA v2 Os tokens LTPA são suportados para extração pelos seguintes nós:
  • SecurityPEP
  • SOAPInput

O token é obtido a partir de qualquer parte da árvore de mensagens em um nó de SecurityPEP, se o local do token for especificado utilizando uma expressão XPath ou caminho ESQL.

O valor da cadeia literal utilizado pelo broker (e que é possível utilizar para especificar o tipo de token em um programa ESQL ou Java) é LTPA.

WS-Trust V1.3 STS (incluindo TFIM V6.2):
  • Autenticação
  • Mapeamento
  • Autorização
Certificado X.509 Os tokens de X.509 são suportados para extração pelos seguintes nós:
  • SecurityPEP
  • MQInput
  • HTTPInput
  • EntradaSCA
  • RespostaAssíncronaSCA
  • SOAPInput
O token é obtido a partir de um dos seguintes locais:
  • SOAP
    • A partir de um cabeçalho WS-Security. O conjunto de políticas e a ligação (associados ao nó SOAP) devem definir um perfil de X.509.
  • Qualquer parte da árvore de mensagens quando o local do token é especificada usando uma expressão XPath ou um caminho ESQL.

O valor da cadeia literal utilizado pelo broker (e que é possível utilizar para especificar o tipo de token em um programa ESQL ou Java) é X.509.

TFIM V6.1:
  • Autenticação
  • Mapeamento
  • Autorização.
WS-Trust V1.3 STS (incluindo TFIM V6.2):
  • Autenticação
  • Mapeamento
  • Autorização.
Token Universal WSSE Os tokens Universal WSSE são suportados para extração apenas pelo nó de SecurityPEP.

O token é obtido a partir de qualquer parte da árvore de mensagens em um nó de SecurityPEP, se o local do token for especificado utilizando uma expressão XPath ou caminho ESQL.

O valor de cadeia literal utilizado pelo broker (e que é possível utilizar para especificar o tipo de token em um programa ESQL ou Java) é UniversalWsse.

WS-Trust V1.3 STS (incluindo TFIM V6.2):
  • Autenticação
  • Mapeamento
  • Autorização.

A identidade de origem é configurada apenas pelo SecurityPEP ou pelo nó de entrada se um perfil de segurança estiver associado ao nó. As informações para preencher esses campos são encontradas geralmente nos cabeçalhos de uma mensagem, mas também podem estar no corpo (desde que o nó tenha sido configurado com uma referência de Caminho ESQL ou XPath para as várias propriedades). Se diversas identidades estiverem disponíveis (por exemplo, se você estiver utilizando a agregação de mensagem), a primeira identidade é utilizada. A extração do token é específica do transporte e pode ser executada somente utilizando transportes que suportam o fluxo de identidades. Estes transportes são: Websphere MQ, HTTP(S) e SOAP. Consulte Nó MQInput e Nó HTTPInput para obter informações adicionais.

É possível modificar os valores nas propriedades (por exemplo, a partir de ESQL), mas não grave nos valores de IdentitySource*. Por exemplo, é possível criar uma rotina de mapeamento de identidade customizada no ESQL ou Java usando os valores IdentitySource* para criar valores IdentityMapped* customizados.

Os tokens de SAML e Universal WSSE são armazenados no campo IdentitySourceToken ou IdentityMappedToken da árvore de Propriedades como um fluxo de bits de caractere. Para acessar esses dados como uma árvore de mensagens, analise-os em um analisador adequado, como XMLNSC:
-- Analise o token SAML2.0 mapeado na pasta de propriedades e defina-o no corpo da mensagem
   CREATE LASTCHILD OF OutputRoot DOMAIN('XMLNSC') PARSE(InputRoot.Properties.IdentityMappedToken, 
   InputProperties.Encoding, InputProperties.CodedCharSetId);
Para configurar os tokens de SAML ou Universal WSSE nos campos de propriedades, você deve obter o fluxo de bits de uma árvore, por exemplo, usando a função ESQL ASBITSTREAM.
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:30:14


Tópico de ConceitoTópico de Conceito | Versão 8.0.0.5 | ap04010_