Sie können einen Nachrichtenfluss so konfigurieren, dass er die Autorisierung einer Identität mittels Tivoli Federated Identity Manager (TFIM) V6.1 ausführt.
Bevor Sie beginnen:
Bei der Ausführung der Autorisierung verwendet TFIM eine Instanz des TFIM-Moduls 'AuthorizationSTSModule' in der ausgewählten Modulkette. Beim TFIM-Modul 'AuthorizationSTSModule' muss Mode = Other festgelegt sein. Durch das Modul 'AuthorizationSTSModule' erhält ein Benutzer die erforderliche Autorisierung, indem eine Zugriffssteuerungsliste (Access Control List, ACL) aus dem Tivoli Access Manager (TAM) überprüft wird. TFIM überprüft bei der Berechtigungsprüfung, ob die Aktion "i" (invoke) in einer Zugriffssteuerungsliste für die Aktionsgruppe WebService gewährt wird.
Die Zugriffssteuerungsliste startet im Stammverzeichnis des TAM-Objektbereichs und verwendet einen Pfad, der vom Parameter Geschützter Objektname des Web-Service des Autorisierungsmoduls gebildet wird, gefolgt vom Porttyp und dem Operationsnamen der Autorisierungsanforderung. Wenn der Broker eine Autorisierungsanforderung an TFIM ausgibt, erhalten die Parameter Porttyp und Operationsname die folgenden Werte:
Deshalb befindet sich die Zugriffssteuerungsliste im TAM-Objektbereich an dieser Position:
/<Geschützter_WS-Objektname>.<Nachrichtenflussname>."MessageFlowAccess"
Weitere Informationen zu diesem Prozess und den Parametern finden Sie unter Authentifizierung, Zuordnung und Autorisierung mit TFIM V6.1 und TAM.
Schritte zur Aktivierung der TFIM-Autorisierung:
Damit ein SOAPInput-Knoten die Identität im WS-Sicherheitsheader verwenden kann (anstelle einer unterliegenden Transportidentität), müssen zusätzlich Richtliniensätze und Bindungen definiert und angegeben werden. Der Abschnitt Richtliniensätze enthält weitere Informationen hierzu.
Weitere Informationen zum Konfigurieren von TFIM finden Sie im Abschnitt IBM® Tivoli Federated Identity Manager Information Center.