WebSphere Message Broker stellt einen Sicherheitsmanager bereit, mit dem Sie über die Identität der Nachricht den Zugriff auf die Nachrichten in einem Nachrichtenfluss steuern können.
Sie können den Broker für die durchgängige Verarbeitung einer Identität, die in einer Nachricht durch einen Nachrichtenfluss transportiert wird, konfigurieren. So können Sie Sicherheitsfunktionen für einen Nachrichtenfluss konfigurieren und damit den Zugriff über die der Nachricht zugeordneten Identität steuern sowie einen Sicherheitsmechanismus bereitstellen, der unabhängig vom Transporttyp und dem Nachrichtenformat ist.
Wenn Sie die Nachrichtenflusssicherheit nicht aktivieren, werden Standardsicherheitsfunktionen WebSphere Message Broker verwendet, die auf den vom Transportmechanismus bereitgestellten Funktionen basieren. In diesem Fall verarbeitet der Broker alle Nachrichten, die an ihn übergeben werden, wobei er die Brokerserviceidentität als Proxy-Identität für alle Nachrichteninstanzen verwendet. Identitäten in der eingehenden Nachricht werden ignoriert.
Sie können die Nachrichtenfluss-Sicherheit aufrufen, indem Sie entweder einen sicherheitsfähigen Empfangsknoten oder einen SecurityPEP-Knoten konfigurieren. Mit dem SecurityPEP-Knoten kann der Sicherheitsmanager des Nachrichtenflusses an jeder beliebigen Stelle im Nachrichtenfluss zwischen einem Empfangsknoten und einem Sendeknoten (oder Anforderungsknoten) aufgerufen werden.
Handelt es sich bei dem Nachrichtenfluss um einen Web-Server, der über einen SOAP-Knoten implementiert wird, kann die Identität den WS-Security-Header-Token entnommen werden, die über die entsprechenden Richtliniensätze und Richtlinienbindungen definiert sind.
Zur Verbesserung des Durchsatzes werden die Authentifizierungs-, Autorisierungs- und Zuordnungsinformationen von den konfigurierten Providern zur Wiederverwendung zwischengespeichert. Mit dem Befehl mqsireloadsecurity können Sie den Sicherheitscache neu laden und mit dem Befehl mqsichangeproperties können Sie das Ablauf- und Translationsintervall für den Sicherheitscache festlegen.
Für SOAPRequest- und SOAPAsyncRequest-Knoten können ein entsprechender Richtliniensatz und entsprechende Bindungen definiert werden, um anzugeben, wie das Token in den WS-Sicherheitsheader anstatt in die Transportheader eingefügt werden soll. Der Abschnitt Richtliniensätze enthält weitere Informationen hierzu.
In folgenden Abschnitten finden Sie weitere ausführliche Informationen zur Nachrichtenflusssicherheit: