É possível usar o WebSphere Message Broker, o Tivoli Federated
Identity Manager (TFIM) V6.2 e o Tivoli Access
Manager (TAM) para controlar a autenticação, o mapeamento e a autorização.
WebSphere Message Broker faz uma única chamada TFIM
WS-Trust para um nó de entrada ou nó SecurityPEP configurado
com um perfil de segurança STS WS-Trust V1.3. Como resultado, uma única cadeia de módulo deve
ser configurada para executar todas as operações de autenticação, de mapeamento
e de autorização necessárias.
Ao usar um WS-Trust v1.3 STS para autenticação,
autorização ou mapeamento, um pedido é feito para o serviço de confiança
com os parâmetros a seguir, que controlam o processamento do STS. Se
estiver usando o TFIM V6.2, estes parâmetros serão usados na seleção
da cadeia do módulo TFIM:
Parâmetro |
Value |
RequestType |
O tipo de pedido emitido para o serviço de confiança.
Os valores válidos são:- Issue
- Este valor pode ser especificado quando o mapeamento é a única operação
configurada no STS WS-Trust V1.3 STS
no perfil de segurança. Ele não será válido se o STS WS-Trust V1.3 for especificado
para autenticação ou autorização.
O valor qualificado do espaço de nomes é http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue,
que é mostrado no TFIM V6.2 como Emitir URI do Oasis.
- Validate
- Este valor deve ser configurado quando o perfil de segurança também incluir
autenticação ou autorização (além do mapeamento) para o mesmo provedor STS WS-Trust V1.3.
O
valor qualificado do espaço de nomes é http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate,
que é mostrado no TFIM V6.2 como Validar URI do Oasis.
|
Issuer |
Este valor é determinado pela configuração efetiva
da propriedade IssuedBy
na guia Básico do nó SecurityPEP ou a guia Segurança
do nó de entrada. |
AppliesTo |
Este valor é determinado pelo tipo de nó:- Nó MQInput ou SCAInput com ligação de MQ:
- O IRI do WebSphere MQ da fila de entrada do nó, por exemplo:
wmq://msg/queue/queue_name@queue_manager_name
- Nó HTTPInput, SOAPInput ou SOAPAsyncResponse com ligação HTTP:
- A URL do terminal; por exemplo:
http://myflow/myInputNodePath
- Nó SecurityPEP com um endereço WS-Trust AppliesTo padrão (em branco):
- O URN para o fluxo de mensagens que contém o nó; por exemplo:
urn:/broker_name.execution_group_name.flow_name
- Nó SecurityPEP com endereço WS-Trust AppliesTo configurado na guia
Avançado do nó:
- O valor do URI configurado na propriedade. Este valor é geralmente
a URL do serviço de destino que é usado quando você invoca uma operação
de mapeamento para obter o token necessário para o nó do pedido a seguir;
por exemplo:
http://remotehost.ibm.com:9080/targetservice
Também
é possível configurar as propriedades nome do serviço
AppliesTo e tipo de porta
AppliesTo na guia Avançado
do nó. O pedido de WS-Trust inclui estes elementos opcionais
apenas quando eles são configurados. Estes valores são geralmente QNames válidos; por exemplo: http://myservice.mycom.com:myservicename
Quando
você configura estas propriedades no nó SecurityPEP, é necessário
configurá-las na cadeia do módulo TFIM:
|
Esta seção descreve uma configuração de autorização
que você pode usar para executar a operação de autorização
com o TFIM V6.2 e o TAM.
No perfil de segurança,
configure o terminal TFIM V6.2 para a operação de autorização. Quando
uma cadeia de módulo é criada para ser usada por um nó de entrada ativado
para segurança ou um nó SecurityPEP
e resolvida pelas informações de AppliesTo, é necessário incluir
o TAMAuthorizationSTModule do TFIM para invocar a autorização do TAM.
O
TAMAuthorizationSTSModule requer os seguintes atributos de contexto
do usuário universal do TFIM STS:
- PrincipalName
- O nome de usuário a ser autorizado. Este nome de usuário deve existir em seu
repositório do usuário TAM.
- ObjectName
- O nome do objeto TAM do recurso no qual uma verificação de autorização
deve ser feita. Geralmente isto é derivado das informações de AppliesTo
que são transmitidas pelo gerenciador de segurança do fluxo de mensagens a partir do nó de entrada
ativado para segurança ou do nó SecurityPEP.
- Ação
- A ação do TAM a ser autorizada; por exemplo, x (eXecute).
A Lista de Controle de Acesso (ACL) do TAM, a qual determina
a decisão de autorização, está localizada no espaço de objeto protegido pelo TAM
usando o caminho que está configurado no atributo ObjectName
da entrada do contexto do usuário universal do TFIM STS para o módulo
TAMAuthorizationSTSModule.
O diagrama a seguir mostra a configuração do
WebSphere Message Broker, TFIM V6.2 e TAM para ativar autenticação,
mapeamento e autorização de uma identidade em um fluxo de mensagens:

Os números no diagrama precedente correspondem à seguinte sequência de
eventos:
- Uma mensagem entra em um fluxo de mensagens.
- Um pedido de WS-Trust é emitido pelo broker, com as propriedades RequestType, Issuer
e AppliesTo configuradas.
- O TFIM seleciona uma cadeia de módulo para processar o pedido de WS-Trust, com base
nas propriedades RequestType, Issuer
e AppliesTo do pedido.
- Uma cadeia de módulo pode executar a autenticação se ela incluir um módulo
no modo Validate que é apropriado para o tipo de token
que está sendo transmitido no pedido da mensagem de entrada do fluxo de
mensagens. Por exemplo, um token Nome de Usuário e Senha pode ser autenticado
usando um UsernameTokenSTSModule.
- A cadeia de módulo deve executar algum mapeamento usando um XSLTransformationModule
no modo de mapeamento para manipular as informações de identificação e para fornecer
os atributos de contexto necessários no objeto do TFIM stsuser para uso
pelos módulos subsequentes.
- Uma cadeia de módulo pode executar a autorização no TAM usando o TAMAuthorizationSTSModule.
- O TAMAuthorizationSTSModule executa a verificação de autorização
fazendo um pedido ao TAM com essas propriedades:
- Action = a (em que a é o
atributo de ação de contexto de stsuser). Por exemplo, x para
eXecutar poderia ser configurado usando o código a seguir:
<stsuuser:ContextAttributes>
<!-- Action -->
<stsuuser:Attribute name="Action" type="urn:ibm:names:ITFIM:stsmodule:tamazn">
<stsuuser:Value>x</stsuuser:Value>
</stsuuser:Attribute>
</stsuuser:ContextAttributes>
- Action Group = WebService
- Protected Object = ProtectedObjectName (em que ProtectedObjectName é
o atributo de ação de contexto stsuser). Por exemplo, x para
eXecutar poderia ser configurado usando o código a seguir:
<stsuuser:ContextAttributes>
<!-- ObjectName -->
<stsuuser:Attribute name="ObjectName" type="urn:ibm:names:ITFIM:stsmodule:tamazn">
<stsuuser:Value>ProtectedObjectName</stsuuser:Value>
</stsuuser:Attribute>
</stsuuser:ContextAttributes>
Geralmente, ProtectedObjectName é
configurado condicionalmente a partir das informações de AppliesTo
no pedido.
- O TAM processa o pedido de autorização:
- Localizando Listas de Controle de Acesso (ACLs) associadas ao objeto
protegido ProtectedObjectName
- Verificando se as ACLs concedem a ação a no
grupo de ações WebService ao usuário (o usuário
é nomeado direta ou indiretamente, através da associação
de um grupo definido).
- A resposta de WS-Trust é retornada ao intermediário. Se esta ação é o resultado
de um pedido de mapeamento, a resposta de WS-Trust contém o token
de identidade mapeado.
Para obter informações adicionais sobre como configurar o TFIM e o TAM, consulte
centros
de informações do IBM®
Security Systems.