WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

SecurityPEP-Knoten

Verwenden Sie den SecurityPEP-Knoten in einem Nachrichtenfluss, um den Nachrichtenflusssicherheitsmanager an einem beliebigen Punkt im Nachrichtenfluss aufzurufen.

Dieses Thema ist in folgende Abschnitte eingeteilt:

Zweck

Über den SecurityPEP-Knoten können Sie den Nachrichtenflusssicherheitsmanager an einem beliebigen Punkt im Nachrichtenfluss zwischen einem Empfangs- und einem Sendeknoten (oder Anforderungsknoten) aufrufen.

Mithilfe der Nachrichtenflusssicherheit kann der Broker ein Identitäts- oder Sicherheitstoken, das in einer Nachricht durch einen Nachrichtenfluss transportiert wird, durchgängig verarbeiten (End-to-End-Verarbeitung). Dadurch haben Sie die Möglichkeit, Sicherheit für einen Nachrichtenfluss zu konfigurieren und so den Zugriff über das der Nachricht zugeordnete Identitäts- oder Sicherheitstoken zu steuern sowie einen Sicherheitsmechanismus bereitstellen, der unabhängig vom Transporttyp und Nachrichtenformat ist.

Über den SecurityPEP-Knoten können Sie den Sicherheitsmanager auch dann aufrufen, wenn die Empfangsknoten Ihres Nachrichtenflusses keine Nachrichtenflusssicherheit unterstützen (z. B. TCPIPClientInput- oder SAPInput-Knoten). Wenn Sie Empfangsknoten verwenden, die keine Nachrichtenflusssicherheit unterstützen, oder die Nachricht auf irgendeine Weise verarbeitet oder weitergeleitet werden muss, bevor die erforderliche Sicherheitsoperation ermittelt werden kann, können Sie über den SecurityPEP-Knoten die Nachrichtenflusssicherheit aufrufen.

Außerdem bietet der SecurityPEP-Knoten die Möglichkeit, unterschiedliche Sicherheitsaspekte an unterschiedlichen Punkten im Nachrichtenfluss aufzurufen. So könnte es beispielsweise sein, dass an einem Empfangsknoten mit aktivierter Sicherheit eine Authentifizierung erforderlich ist, während an anderer Stelle eine Tokenzuordnung und -autorisierung erforderlich ist, nachdem eine bestimmte Logik im Nachrichtenfluss die notwendige Geschäftsoperation ermittelt hat. Oder Sie verwenden vielleicht einen Nachrichtenfluss mit mehreren Anforderungsknoten, für die SecurityPEP-Knoten erforderlich sind, die einen bestimmten Typ von Sicherheitstoken einem anderen Typ zuordnen, damit eine Weitergabe durch die Anforderungsknoten möglich ist.

Sie können über die Knoteneigenschaften die Position des Sicherheitstokens in der Nachrichtenbaumstruktur angeben. Die Eigenschaften enthalten einen XPath-Ausdruck oder ESQL-Pfad, der die Position der Sicherheitstokens in den Nachrichtenbaumstrukturen definiert. Der Nachrichtenflusssicherheitsmanager extrahiert diese Informationen aus der Nachricht und sendet sie an den externen Richtlinienentscheidungspunkt (Policy Decision Point, PDP), der die Informationen zur Authentifizierung, Autorisierung oder Zuordnung verwendet. Der zu verwendende Richtlinienentscheidungspunkt wird über das zugeordnete Sicherheitsprofil konfiguriert.

Alternativ können Sie den SecurityPEP-Knoten so konfigurieren, dass er die aktuellen Tokens verwendet, die bereits von einem vorgelagerten Empfangs- oder SecurityPEP-Knoten extrahiert und im Ordner 'Eigenschaften' gespeichert wurden. Wenn der Knoten mit dem Tokentyp Current token (Aktuelles Token) konfiguriert ist, wird, falls ein zugeordnetes Token vorhanden ist, das zugeordnete Token verwendet; andernfalls wird das Quellentoken verwendet.

Dem SecurityPEP-Knoten muss ein Sicherheitsprofil zugeordnet sein, in dem die Sicherheitsoperationen angegeben sind, die vom Knoten durchgesetzt werden müssen, einschließlich Authentifizierung, Autorisierung und Zuordnung. Wenn dem Knoten kein Sicherheitsprofil zugeordnet ist, gibt der Knoten die Nachricht an das Ausgabeterminal weiter, ohne irgendwelche Sicherheitsoperationen durchzusetzen. Sicherheitsprofile werden vom Brokeradministrator vor der Implementierung eines Nachrichtenflusses konfiguriert; während der Ausführungszeit greift der Sicherheitsmanager auf diese Profile zu. Wenn entweder in einem Nachrichtenfluss oder einem Knoten ein Sicherheitsprofil angegeben ist, muss das Profil bei der Implementierung des Nachrichtenflusses verfügbar sein; andernfalls tritt bei der Implementierung ein Fehler auf.

Im zugehörigen Sicherheitsprofil können Sie auch den zu verwendenden externen Sicherheitsprovider (LDAP, WS-Trust V1.3 STS oder TFIM V6.1) angeben und die Art und Weise konfigurieren, wie dieser verwendet werden soll. Das Sicherheitsprofil wird während der Implementierung dem SecurityPEP-Knoten (oder dem Nachrichtenfluss, zu dem dieser gehört) zugeordnet, indem die Eigenschaft Sicherheitsprofil mit dem Brokerarchiveditor bearbeitet wird.

Informationen zu den Typen von Sicherheitstokens, die vom SecurityPEP-Knoten unterstützt werden, finden Sie im Abschnitt Identität.

Der SecurityPEP-Knoten gibt Nachrichten nur dann an das Ausgabeterminal weiter, wenn alle konfigurierten Sicherheitsoperationen erfolgreich ausgeführt wurden. Die Eingabenachrichten werden unverändert weitergegeben, unabhängig von der Belegung der Quellenidentität und der zugeordneten Identität (sofern vorhanden).

Beim Scheitern einer konfigurierten Sicherheitsoperation wird vom SecurityPEP-Knoten eine Sicherheitsausnahme ausgegeben, die anders als bei Empfangsknoten mit aktivierter Sicherheit in eine behebbare Ausnahme eingeschlossen ist. Daraufhin wird die vom Nachrichtenfluss bereitgestellte Fehlerbehandlung aufgerufen. Auf diese Weise kann die Ausnahmebedingung abgefangen und verarbeitet werden. Es besteht auch die Möglichkeit, zur Behandlung von Ausnahmen des SecurityPEP-Knotens das Fehlerterminal des Knotens in eine spezielle Verarbeitungslogik für Sicherheitsfehler einzubinden. Beim Scheitern einer Sicherheitsoperation bleiben die Eingabenachrichten unverändert, bis auf die Belegung der Ausnahmeliste.

Der SecurityPEP-Knoten befindet sich im Ablagefach Sicherheit der Palette und wird im WebSphere Message Broker Toolkit durch folgendes Symbol dargestellt:

Symbol für TCPIPClientInput-Knoten

Nachrichtenstruktur

Der SecurityPEP-Knoten bearbeitet Nachrichten in den folgenden Nachrichtendomänen:
  • MRM
  • XMLNSC
  • DataObject
  • XMLNS
  • JMSMap
  • JMSStream
  • MIME
  • BLOB
  • SOAP
  • XML (diese Domäne wird nicht weiter unterstützt; verwenden Sie XMLNSC)
  • IDOC (diese Domäne wird nicht weiter unterstützt; verwenden Sie MRM)

SecurityPEP-Knoten in einem Nachrichtenfluss verwenden

Im folgenden Beispiel wird die Verwendung des SecurityPEP-Knotens erläutert:

Informationen zu Beispielen können nur bei Verwendung des in das WebSphere Message Broker Toolkit integrierten bzw. online verfügbaren Information Center angezeigt werden. Muster können nur ausgeführt werden, wenn das im WebSphere Message Broker Toolkit integrierte Information Center verwendet wird.

Den SecurityPEP-Knoten konfigurieren

Nachdem Sie eine Instanz des SecurityPEP-Knotens in einen Nachrichtenfluss eingereiht haben, können Sie den Knoten konfigurieren; siehe Nachrichtenflussknoten konfigurieren. Die Eigenschaften des Knotens werden in der Ansicht 'Eigenschaften' angezeigt.

Alle verbindlichen Eigenschaften, für die kein Standardwert definiert ist, sind mit einem Stern markiert.

Konfigurieren Sie den SecurityPEP-Knoten:

  1. Optional: Geben Sie auf der Registerkarte Beschreibung eine Kurzbeschreibung und/oder eine Ausführliche Beschreibung ein. Sie können den Knoten dort auch umbenennen.
  2. Geben Sie auf der Registerkarte Grundeinstellung Werte für die Eigenschaften an, die die Extraktion eines Identitäts- oder Sicherheitstokens aus einer Nachricht steuern (beim Zuordnen eines Sicherheitsprofils zum Knoten).
    • Wählen Sie eine Option in der Liste Identitätstokentyp aus, um den Identitätstyp in der eingehenden Nachrichtenbaumstruktur anzugeben. Wenn Sie für diese Option die Standardeinstellung (Aktuelles Token) beibehalten, wird der Tokentyp verwendet, der in der zugeordneten Identität oder im Quellenfeld im Ordner 'Eigenschaften' angegeben ist.

      Wenn Aktuelles Token ausgewählt ist, sind die Felder Position des Identitätstokens und Position des Identitätskennworts inaktiviert.

    • Geben Sie im Feld Position des Identitätstokens den XPath-Ausdruck, die ESQL-Feldreferenz bzw. das Zeichenfolgeliteral zur Angabe der Nachrichtenposition ein, in der sich die Identität bzw. das Token befindet. Zeichenfolgeliterale müssen in einfache Anführungszeichen gesetzt werden und dürfen keinen Punkt (.) enthalten,

      Diese Eigenschaft ist inaktiviert, wenn die Eigenschaft Identitätstokentyp auf Aktuelles Token gesetzt ist.

    • Geben Sie im Feld Position des Identitätskennworts den XPath-Ausdruck, die ESQL-Feldreferenz bzw. das Zeichenfolgeliteral zur Angabe der Nachrichtenposition ein, in der sich das Kennwort befindet. Zeichenfolgeliterale müssen in einfache Anführungszeichen gesetzt werden und dürfen keinen Punkt (.) enthalten,

      Diese Option kann nur festgelegt werden, wenn der Identitätstokentyp auf Benutzername + Kennwort gesetzt ist.

      Diese Eigenschaft ist inaktiviert, wenn die Eigenschaft Identitätstokentyp auf Aktuelles Token gesetzt ist.

    • Geben Sie im Feld Identität - issuedBy-Position, einen XPath-Ausdruck, eine ESQL-Feldreferenz oder ein Zeichenfolgeliteral zur Angabe der Position des Ausstellerwerts in der Nachricht an. Zeichenfolgeliterale müssen in einfache Anführungszeichen gesetzt werden und dürfen keinen Punkt (.) enthalten,

      Wenn im zugehörigen Sicherheitsprofil ein WS-Trust v1.3 STS-Provider angegeben ist (z. B. TFIM V6.2) und dieses Feld leer bleibt, wird in die WS-Trust-Anforderung kein WS-Trust-Element 'Issuer.Address' (Aussteller.Adresse) aufgenommen.

  3. Legen Sie auf der Registerkarte Erweitert die Eigenschaften fest, um die Standardeinstellungen für WS-Trust v1.3 STS zu überschreiben. Diese Eigenschaften können nur festgelegt werden, wenn im Sicherheitsprofil, das dem SecurityPEP-Knoten zugeordnet ist, ein WS-Trust v1.3 STS angegeben ist.
    • Geben Sie über die Eigenschaft WS-Trust AppliesTo-Adresse die Adresse für das Element /wst:RequestSecurityToken/wsp:AppliesTo der WS-Trust-Nachricht an. Sie können über diese Eigenschaft die URI des Service bereitstellen, für den das Sicherheitstoken überprüft oder ausgestellt werden soll.

      Dieser Wert kann als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben werden. Ein Zeichenfolgeliteral muss in einfachen Anführungszeichen stehen und darf keinen Punkt (.) enthalten.,

      Standardmäßig ist dieser Wert eine URI für den vollständig qualifizierten Namen des Nachrichtenflusses im Format uri:Brokername.Ausführungsgruppenname.Nachrichtenflussname.

    • Geben Sie über die Eigenschaft WS-Trust AppliesTo-Service den Servicenamen für das Element /wst:RequestSecurityToken/wsp:AppliesTo der WS-Trust-Nachricht an. Sie können über diese Eigenschaft die Servicenamen des Service bereitstellen, für den das Sicherheitstoken überprüft oder ausgestellt werden soll.

      Dieser Wert kann als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben werden. Zeichenfolgeliterale müssen in einfache Anführungszeichen gesetzt werden und dürfen keinen Punkt (.) enthalten,

      Dieser Wert bleibt standardmäßig leer, d. h., dieses Element wird nicht in die WS-Trust-Anforderung aufgenommen.

    • Geben Sie über die Eigenschaft WS-Trust AppliesTo-Porttyp den Porttyp für das Element /wst:RequestSecurityToken/wsp:AppliesTo der WS-Trust-Nachricht an. Sie können über diese Eigenschaft den Porttyp des Service bereitstellen, für den das Sicherheitstoken überprüft oder ausgestellt werden soll.

      Dieser Wert kann als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben werden. Ein Zeichenfolgeliteral muss in einfachen Anführungszeichen stehen und darf keinen Punkt (.) enthalten.,

Weitere Informationen finden Sie in den Abschnitten Übersicht über Nachrichtenflusssicherheit und Nachrichtenflusssicherheit einrichten.

Terminals und Eigenschaften

In der folgenden Tabelle werden die Terminals des SecurityPEP-Knotens beschrieben.

Terminal Beschreibung
Eingabeterminal (In) Das Eingabeterminal, das eine Nachricht zur Verarbeitung annimmt.
Ausgang Das Ausgabeterminal, an das die Nachricht weitergeleitet wird, wenn dem SecurityPEP-Knoten ein Sicherheitsprofil zugeordnet ist und alle konfigurierten Sicherheitsoperationen erfolgreich ausgeführt wurden. Die weitergegebenen Identitätselemente des Eigenschaftenordners werden durch die konfigurierten Sicherheitsoperationen aktualisiert.
Fehlerterminal (Failure) Das Ausgabeterminal, an das die Nachricht weitergeleitet wird, wenn im Knoten ein Fehler auftritt, wenn beispielsweise von den konfigurierten Sicherheitsoperationen eine Ausnahme zurückgegeben wird.

In den folgenden Tabellen werden die Knoteneigenschaften beschrieben. Die Spalte O zeigt an, ob die Eigenschaft obligatorisch ist (markiert mit einem Stern, wenn ein Wert eingegeben werden muss, weil kein Standardwert definiert ist). Die Spalte K zeigt an, ob die Eigenschaft konfigurierbar ist (Wert kann geändert werden, wenn der Nachrichtenfluss zur BAR-Datei hinzugefügt wird, um ihn zu implementieren).

In der folgenden Tabelle werden die Eigenschaften für die Beschreibung des SecurityPEP-Knotens beschrieben.

Eigenschaft O K Standardwert Beschreibung
Knotenname Nein Nein Knotentyp, z. B. SecurityPEP Der Name des Knotens.
Kurzbeschreibung Nein Nein   Kurze Beschreibung des Knotens.
Langbeschreibung Nein Nein   Text, der den Zweck des Knotens im Nachrichtenfluss beschreibt

In der folgenden Tabelle werden die Basiseigenschaften des SecurityPEP-Knotens beschrieben. Geben Sie Werte für diese Eigenschaften an, um die Extraktion einer Identität aus einer Nachricht zu steuern (wenn dem Knoten ein Sicherheitsprofil zugeordnet ist). Weitere Informationen zu diesen Eigenschaften finden Sie in den Abschnitten Identität, Extraktion eines Identitäts- oder Sicherheitstokens konfigurieren, Übersicht über Nachrichtenflusssicherheit und Nachrichtenflusssicherheit einrichten.

Eigenschaft O K Standardwert Beschreibung
Identitätstokentyp Nein Nein Ohne Diese Eigenschaft gibt den Typ des Identitätstokens an, das in der eingehenden Nachricht vorhanden ist. Folgendes sind gültige Werte:
  • Aktuelles Token
  • Benutzername
  • Benutzername und Kennwort
  • X.509-Zertifikat
  • SAML-Zusicherung
  • Kerberos GSS Version 5 AP_REQ
  • LTPA Version 2-Token
  • Universal WSSE-Token
Wenn diese Eigenschaft auf Aktuelles Token gesetzt ist, wird die Identität verwendet, die im Ordner 'Eigenschaften' angegeben ist.

Sie können auch Benutzername und Kennwort angeben, um ein RACF-PassTicket mit einem WS-Trust V1.3 STS (z. B. TFIM V6.2) zu überprüfen.

Position des Identitätstokens Nein Nein Ohne Diese Eigenschaft gibt die Position des Identitäts- oder Sicherheitstokens in der Nachricht an. Die Position wird als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben. Zeichenfolgeliterale müssen in einfache Anführungszeichen gesetzt werden und dürfen keinen Punkt (.) enthalten,
Position des Identitätskennworts Nein Nein Ohne Diese Eigenschaft gibt die Position des Kennworts in der Nachricht an. Die Position wird als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben. Zeichenfolgeliterale müssen in einfache Anführungszeichen gesetzt werden und dürfen keinen Punkt (.) enthalten,

Diese Eigenschaft kann nur festgelegt werden, wenn Identitätstokentyp auf Benutzername und Kennwort gesetzt ist.

Identität-issuedBy-Position Nein Nein Ohne Diese Eigenschaft gibt einen XPath-Ausdruck oder ESQL-Pfad an, der den Aussteller des Identitäts- oder Sicherheitstokens beschreibt. Die Position wird als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben. Ein Zeichenfolgeliteral muss in einfachen Anführungszeichen stehen und darf keinen Punkt (.) enthalten.,

Diese Option wird verwendet, wenn das zugehörige Sicherheitsprofil einen WS-Trust V1.3 STS-Provider (z. B. TFIM V6.2) für die Authentifizierung, Zuordnung oder Autorisierung angibt. In diesem Fall wird, wenn dieses Feld leer bleibt, kein WS-Trust-Element 'Issuer.Address' (Aussteller.Adresse) gesendet.

In der folgenden Tabelle werden die erweiterten Eigenschaften des SecurityPEP-Knotens beschrieben. Diese Eigenschaften werden nur verwendet, wenn im Sicherheitsprofil ein WS-Trust V1.3 STS (z. B. TFIM V6.2) angegeben ist.

Eigenschaft O K Standardwert Beschreibung
WS-Trust AppliesTo-Adresse Nein Ja Nicht festgelegt Diese Eigenschaft gibt die Adresse für das Element /wst:RequestSecurityToken/wsp:AppliesTo der WS-Trust-Nachricht an. Stellen Sie über diese Eigenschaft die URI des Service bereit, für den das Sicherheitstoken überprüft oder ausgestellt werden soll.

Dieser Wert kann als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben werden. Ein Zeichenfolgeliteral muss in einfachen Anführungszeichen stehen und darf keinen Punkt (.) enthalten.,

Standardmäßig ist dieser Wert eine URI für den vollständig qualifizierten Namen des Nachrichtenflusses im Format uri:Brokername.Ausführungsgruppenname.Nachrichtenflussname.

WS-Trust AppliesTo-Service Nein Ja Nicht festgelegt Diese Eigenschaft gibt den Servicenamen für das Element /wst:RequestSecurityToken/wsp:AppliesTo der WS-Trust-Nachricht an. Stellen Sie über diese Eigenschaft den Servicenamen des Service bereit, für den das Sicherheitstoken überprüft oder ausgestellt werden soll.

Dieser Wert kann als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben werden. Zeichenfolgeliterale müssen in einfache Anführungszeichen gesetzt werden und dürfen keinen Punkt (.) enthalten,

Dieser Wert bleibt standardmäßig leer, d. h., dieses Element wird nicht in die WS-Trust-Anforderung aufgenommen.

WS-Trust AppliesTo-Porttyp Nein Ja Nicht festgelegt Diese Eigenschaft gibt den Porttyp für das Element /wst:RequestSecurityToken/wsp:AppliesTo der WS-Trust-Nachricht an. Stellen Sie über diese Eigenschaft den Porttyp des Service bereit, für den das Sicherheitstoken überprüft oder ausgestellt werden soll.

Dieser Wert kann als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben werden. Ein Zeichenfolgeliteral muss in einfachen Anführungszeichen stehen und darf keinen Punkt (.) enthalten.,

Dieser Wert bleibt standardmäßig leer, d. h., dieses Element wird nicht in die WS-Trust-Anforderung aufgenommen.

Die Überwachungseigenschaften des Knotens werden in der folgenden Tabelle beschrieben.
Eigenschaft O K Standardwert Beschreibung
Ereignisse Nein Nein Ohne Auf dieser Registerkarte werden Ereignisse angezeigt, die Sie für den Knoten definiert haben. Standardmäßig sind für keinen Knoten in einem Nachrichtenfluss Überwachungsereignisse definiert. Über Hinzufügen, Bearbeiten und Löschen können Sie Überwachungsereignisse für den Knoten erstellen, ändern oder löschen (Details siehe Überwachungsereignisquellen mithilfe von Überwachungseigenschaften konfigurieren).

Sie können hier angezeigte Ereignisse aktivieren oder inaktivieren, indem Sie das Kontrollkästchen Aktiviert aktivieren oder inaktivieren.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:22:34


ReferenzthemaReferenzthema | Version 8.0.0.5 | bc28210_