WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Authentifizierung, Zuordnung und Autorisierung mit TFIM V6.1 und TAM

Mit WebSphere Message Broker, Tivoli Federated Identity Manager (TFIM) V6.1 und Tivoli Access Manager (TAM) können Sie die Authentifizierung, Zuordnung und Autorisierung steuern.

Anmerkung: Aus Gründen der Kompatibilität mit früheren Versionen von WebSphere Message Broker ist die Unterstützung für TFIM V6.1 enthalten. Falls möglich, führen Sie ein Upgrade auf TFIM V6.2 durch und lesen Sie die Informationen unter Authentifizierung, Zuordnung und Autorisierung mit TFIM V6.2 und TAM.

WebSphere Message Broker gibt einen einzigen TFIM WS-Trust-Aufruf für einen Empfangsknoten aus, für den ein TFIM-Sicherheitsprofil konfiguriert ist. Dies bedeutet, dass eine einzige Modulkette für die Ausführung aller erforderlichen Authentifizierungs-, Zuordnungs- und Autorisierungsvorgänge konfiguriert werden muss.

Im folgenden Diagramm ist die Konfiguration von WebSphere Message Broker, TFIM und TAM dargestellt, die die Authentifizierung, Zuordnung und Autorisierung einer Identität in einem Nachrichtenfluss ermöglicht.

Die Abbildung wird im Text beschrieben.

Die Zahlen im Diagramm oben entsprechen dem folgenden Ablauf:

  1. Eine Nachricht tritt in einen Nachrichtenfluss ein.
  2. Eine WS-Trust-Anforderung wird vom Broker mit den folgenden Eigenschaften ausgegeben:
    • RequestType = Prüfen
    • Identity = Token aus Eingabenachricht
    • Issuer = Aussteller aus Eingabenachricht
    • AppliesTo Address = "Broker.Ausführungsgruppe.Flussname"
    • PortType = "Flussname"
    • Operation = "Nachrichtenflusszugriff"
  3. TFIM wählt eine Modulkette zur Verarbeitung der WS-Trust-Anforderung an, die auf den Eigenschaften 'AppliesTo Address' und 'Issuer' der Anforderung basiert.
  4. Eine Modulkette kann die Authentifizierung ausführen, wenn sie ein Modul (z. B. 'UsernameTokenSTSModule' oder 'X509STSModule') im Modus Auswerten enthält.
  5. Eine Modulkette kann die Zuordnung mithilfe des Moduls 'XSLTransformationModule' im Modus Zuordnung ausführen, um die Identitätsinformationen zu bearbeiten.
  6. Eine Modulkette kann die Berechtigung mithilfe des Moduls 'AuthorizationSTSModule' im Modus Sonstige ausführen. Sie muss mit dem Wert Protected Object Root (Geschütztes Objektstammverzeichnis) konfiguriert werden.
  7. Das Modul 'AuthorizationSTSModule' führt die Berechtigungsprüfungen durch, indem es eine Anforderung an TAM mit den folgenden Eigenschaften ausgibt:
    • Action = “i” (invoke - aufrufen)
    • Action Group = “WebService"
    • Protected Object = "Geschütztes_Objektstammverzeichnis.Flussname.Nachrichtenflusszugriff

      Dabei sind “i” und “WebService” die von 'AuthorizationSTSModule' verwendeten Standardwerte, und Nachrichtenflussname und Nachrichtenflusszugriff sind die Werte der WS-Trust-Anforderung 'PortType' und 'Operation'.

  8. TAM verarbeitet die Berechtigungsanforderung folgendermaßen:
    1. Suche der Zugriffssteuerungslisten (ACLs), die dem geschützten Objekt "<Geschütztes_Objektstammverzeichnis>.<Nachrichtenflussname>.Nachrichtenflusszugriff" zugeordnet sind.
    2. Prüfen, ob die Zugriffssteuerungslisten die Aktion “i” in der Aktionsgruppe “WebService” für den Benutzer gewähren (wobei der Benutzer direkt oder über die Zugehörigkeit zu einer Gruppe benannt wird).
  9. Die WS-Trust-Anforderung wird an den Broker zurückgegeben. Wenn diese Aktion das Ergebnis einer Zuordnungsanforderung ist, enthält die WS-Trust-Anforderung die zugeordneten Identitätstoken.

Weitere Informationen zur Konfiguration von TFIM und TAM finden Sie in der Information Center für IBM® Sicherheitssysteme.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:21:53


KonzeptthemaKonzeptthema | Version 8.0.0.5 | ap04041_