WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Authentifizierung, Zuordnung und Autorisierung mit TFIM V6.2 und TAM

Sie können WebSphere Message Broker, Tivoli Federated Identity Manager (TFIM) V6.2 und Tivoli Access Manager (TAM) zur Steuerung von Authentifizierung, Zuordnung und Autorisierung verwenden.

WebSphere Message Broker gibt einen einzigen TFIM WS-Trust-Aufruf für einen Empfangsknoten oder SecurityPEP-Knoten aus, der mit einem WS-Trust V1.3-STS-Sicherheitsprofil konfiguriert ist. Dies bedeutet, dass die Einzelmodulkette so konfiguriert werden muss, dass alle erforderlichen Operationen der Authentifizierung, Zuordnung und Autorisierung ausgeführt werden.

Wenn Sie einen WS-Trust v1.3 STS zur Authentifizierung, Autorisierung oder Zuordnung verwenden, wird eine Anforderung mit folgenden Parametern zur Steuerung der STS-Verarbeitung an den Trust-Service gestellt. Bei Verwendung von TFIM V6.2 werden folgende Parameter in der Auswahl der TFIM-Modulkette verwendet:
Parameter Wert
RequestType Die Art der an den Trustservice ausgegebenen Anforderung. Gültige Werte sind:
Issue
Dieser Wert kann angegeben werden, wenn im Sicherheitsprofil nur für den Abgleich WS-Trust V1.3 STS definiert ist. Der Wert ist nicht gültig, falls WS-Trust V1.3 STS für die Authentifizierung oder Autorisierung angegeben ist.

Der qualifizierte Wert für den Namensbereich lautet http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue und wird in TFIM V6.2 als Issue Oasis URI (OASIS-URI ausstellen) angezeigt.

Validate
Dieser Wert muss definiert werden, wenn im Sicherheitsprofil für einen WS-Trust V1.3 STS-Provider (zusätzlich zum Abgleich) auch die Authentifizierung und Autorisierung angegeben ist.

Der qualifizierte Wert für den Namensbereich lautet http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate und wird in TFIM V6.2 als Validate Oasis URI (OASIS-URI auswerten) angezeigt.

Issuer Dieser Wert wird durch die effektive Einstellung der Eigenschaft IssuedBy auf der Registerkarte Grundeinstellung des SecurityPEP-Knotens bzw. auf der Registerkarte Sicherheit des Empfangsknotens bestimmt.
AppliesTo Dieser Wert wird durch den Knotentyp bestimmt:
MQInput- oder SCAInput-Knoten mit MQ-Bindung:
WebSphere MQ-IRI der Eingabewarteschlange des Knotens, z. B.:
wmq://msg/queue/Name_der_Warteschlange@Name_des_WS-Managers
HTTPInput-, SOAPInput- oder SOAPAsyncResponse-Knoten mit HTTP-Bindung:
Endpunkt-URL, z. B.
http://myflow/myInputNodePath
SecurityPEP-Knoten mit einer (leeren) WS-Trust-AppliesTo-Adresse:
URN für den Nachrichtenfluss, der den Knoten enthält, z. B.
urn:/Brokername.Ausführungsgruppenname.Flussname
SecurityPEP-Knoten, wobei die WS-Trust-AppliesTo-Adresse auf der Registerkarte 'Erweitert' des Knotens angegeben ist:
URI-Wert, der in der Eigenschaft konfiguriert ist. Dies ist in der Regel die URL des Zielservice, der verwendet wird, wenn Sie eine Abgleichoperation aufrufen, um das erforderliche Token für den folgenden Anforderungsknoten abzurufen, z. B.
http://remotehost.ibm.com:9080/targetservice
Sie können auch die Eigenschaften AppliesTo-Servicename und AppliesTo-Porttyp auf der Registerkarte Erweitert des Knotens festlegen. Diese optionalen Elemente sind in der WS-Trust-Anforderung nur enthalten, wenn sie konfiguriert sind. Bei diesen Werten handelt es sich üblicherweise um gültige Warteschlangennamen, z. B.
http://myservice.mycom.com:myservicename
Wenn Sie diese Eigenschaften im SecurityPEP-Knoten definieren, müssen Sie sie in der TFIM-Modulkette konfigurieren:
  • Bei den TFIM-Eigenschaften 'Servicename' und 'Porttyp' müssen die Informationen links neben dem Doppelpunkt der Namensbereichs-URI des WS-Adressierungsnamensbereichs entsprechen, welcher in der vom Broker festgelegten WS-Trust-Anforderung für die Elemente 'PortType' und 'ServiceName' verwendet wird. Es handelt sich um folgende URI:
    http://www.w3.org/2005/08/addressing
  • Die Informationen rechts neben dem Doppelpunkt bei den TFIM-Eigenschaften 'Servicename' und 'Porttyp' müssen dem auf dem SecurityPEP-Knoten konfigurierten Wert entsprechen. Sie können auch zur Angabe eines Abgleichs einen regulären Ausdruck in TFIM konfigurieren.

In diesem Abschnitt wird eine Autorisierungskonfiguration beschrieben, mit der der Autorisierungsvorgang über TFIM V6.2 und TAM durchgeführt werden kann.

Legen Sie im Sicherheitsprofil den TFIM V6.2-Endpunkt für den Autorisierungsvorgang fest. Wenn Sie eine Modulkette erstellen, die von einem sicherheitsaktivierten Empfangsknoten oder SecurityPEP-Koten verwendet und von der AppliesTo-Information aufgelöst werden soll, müssen Sie den TFIM-Parameter TAMAuthorizationSTSModule zum Aufrufen der TAM-Autorisierung einschließen.

Für den Parameter TAMAuthorizationSTSModule sind die folgenden universellen TFIM-STS-Benutzerkontextattribute erforderlich:
PrincipalName
Der zu autorisierende Benutzername. Dieser Benutzername muss im TAM-Benutzerrepository enthalten sein.
ObjectName
Der TAM-Objektname der Ressource, für die eine Berechtigungsprüfung durchgeführt wird. Normalerweise leitet sich dieser Wert aus den AppliesTo-Informationen ab, die vom Sicherheitsmanager des Nachrichtenflusses aus dem Empfangsknoten mit aktivierter Sicherheit bzw. aus dem SecurityPEP-Knoten übergeben wurden.
Action
Die zu autorisierende TAM-Aktion, z. B. x (eXecute).

Die TAM-Zugriffssteuerungsliste, die zur Berechtigungsentscheidung herangezogen wird, befindet sich im TAM-Bereich für geschützte Objekte mit dem Pfad, der für das Attribut ObjectName in der Eingabe des universellen TFIM-STS-Benutzerkontextes für das Modul TAMAuthorizationSTSModule angegeben wird.

Das folgende Diagramm zeigt die Konfiguration von WebSphere Message Broker, TFIM V6.2 und TAM zur Aktivierung von Authentifizierung, Zuordnung und Autorisierung einer Identität in einem Nachrichtenfluss:

Diagramm zur Veranschaulichung der Interaktion zwischen Nachrichtenbroker, TFIM V6.2 und TAM.

Die Zahlen im Diagramm oben entsprechen dem folgenden Ablauf:
  1. Eine Nachricht tritt in einen Nachrichtenfluss ein.
  2. Vom Broker wird eine WS-Trust-Anforderung ausgegeben, dabei sind die Eigenschaften RequestType, Issuer und AppliesTo definiert.
  3. TFIM wählt anhand der Eigenschaften RequestType, Issuer und AppliesTo der Anforderung eine Modulkette zur Verarbeitung der WS-Trust-Anforderung aus.
  4. Eine Modulkette kann eine Authentifizierung vornehmen, wenn sie über ein Modul im Modus Auswerten verfügt, welches für den Tokentyp, der in der Anforderung aus der Eingabenachricht des Nachrichtenflusses übergeben wird, geeignet ist. So kann beispielsweise ein Token 'Benutzername und Kennwort' unter Verwendung eines Moduls 'UsernameTokenSTSModule' authentifiziert werden.
  5. Die Modulkette muss unter Verwendung eines Moduls 'XSLTransformationModule' im Abgleichsmodus einige Abgleichsoperationen durchführen, um die Identitätsinformationen zu bearbeiten und die erforderlichen Kontextattribute im TFIM-Objekt 'stsuser' für die Verwendung durch nachfolgende Module bereitzustellen.
  6. Eine Modulkette kann die Autorisierung in TAM mithilfe des Moduls 'TAMAuthorizationSTSModule' vornehmen.
  7. Das Modul 'TAMAuthorizationSTSModule' führt die Berechtigungsprüfung durch, indem es eine Anforderung an TAM mit folgenden Eigenschaften ausgibt:
    • Action = a (a bezeichnet dabei das Kontextaktionsattribut 'stsuser'). So könnte beispielsweise mit dem folgenden Code x für eXecute (Ausführen) definiert werden:
      <stsuuser:ContextAttributes>
          <!-- Action -->
          <stsuuser:Attribute name="Action" type="urn:ibm:names:ITFIM:stsmodule:tamazn">
            <stsuuser:Value>x</stsuuser:Value>
          </stsuuser:Attribute>
        </stsuuser:ContextAttributes>
    • Action Group = WebService
    • Protected Object = ProtectedObjectName (ProtectedObjectName bezeichnet dabei das Kontextaktionsattribut 'stsuser'). So könnte beispielsweise mit dem folgenden Code x für eXecute (Ausführen) definiert werden:
      <stsuuser:ContextAttributes>
          <!-- ObjectName -->
          <stsuuser:Attribute name="ObjectName" type="urn:ibm:names:ITFIM:stsmodule:tamazn">
            <stsuuser:Value>ProtectedObjectName</stsuuser:Value>
          </stsuuser:Attribute>
        </stsuuser:ContextAttributes>
      Normalerweise wird ProtectedObjectName entsprechend den Informationen für AppliesTo in der Anforderung definiert.
  8. TAM verarbeitet die Berechtigungsanforderung folgendermaßen:
    1. Suche der Zugriffssteuerungslisten (ACLs), die dem geschützten Objekt ProtectedObjectName zugeordnet sind
    2. Prüfung, ob die Zugriffssteuerungslisten dem Benutzer die Aktion a in der Aktionsgruppe WebService gewähren (der Benutzer wird entweder direkt oder indirekt durch die Zugehörigkeit zu einer angegebenen Gruppe genannt).
  9. Die WS-Trust-Anforderung wird an den Broker zurückgegeben. Wenn diese Aktion das Ergebnis einer Zuordnungsanforderung ist, enthält die WS-Trust-Anforderung die zugeordneten Identitätstoken.

Weitere Informationen zur Konfiguration von TFIM und TAM finden Sie in der Information Center für IBM® Sicherheitssysteme.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:23:17


KonzeptthemaKonzeptthema | Version 8.0.0.5 | bp28100_