WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Nachrichtenflusssicherheit unter Verwendung eines Empfangsknotens mit aktivierter Sicherheit aufrufen

Der Nachrichtenfluss-Sicherheitsmanager kann aufgerufen werden, indem ein Empfangsknoten mit aktivierter Sicherheit konfiguriert wird.

Im folgenden Diagramm sehen Sie ein Beispiel für einen Nachrichtenfluss sowie eine Übersicht über die Folge der Ereignisse, die eintreten, wenn im Nachrichtenfluss von einem Empfangsknoten mit aktivierter Sicherheit eine Eingabenachricht empfangen wird:

Diagramm mit der Folge von Ereignissen, die eintreten, wenn eine Nachricht in einem Nachrichtenfluss an einem Empfangsknoten mit aktivierter Sicherheit ankommt.
Im Folgenden wird die Abfolge der Ereignisse erläutert, die eintreten, wenn eine Nachricht im Nachrichtenfluss an einem Empfangsknoten mit aktivierter Sicherheit ankommt. Die Zahlen entsprechen denen im Diagramm oben:
  1. Wenn eine Nachricht an einem Empfangsknoten mit aktivierter Sicherheit (MQ, HTTP, SCA oder SOAP) eintrifft, weist das Vorhandensein eines dem Knoten zugeordneten Sicherheitsprofils darauf hin, ob die Nachrichtenflusssicherheit konfiguriert ist. SOAP-Knoten können ohne Verwendung dds Sicherheitsmanagers des Brokers einige WS-Security-Funktionen implementieren. Weitere Informationen hierzu finden Sie im Abschnitt WS-Security implementieren. Der Sicherheitsmanager des Brokers wird aufgerufen, um das Profil zu lesen, in dem die Kombination aus Weitergabe, Authentifizierung, Autorisierung und Zuordnung festgelegt ist, die für die Identität der Nachricht ausgeführt werden soll. Auch der zu verwendende externe Sicherheitsprovider (auch als Policy Decision Point (Richtlinienentscheidungspunkt) oder PDP bezeichnet) ist angegeben.

    Sicherheitsprofile können über den Befehl mqsicreateconfigurableservice oder über einen Editor im WebSphere Message Broker Explorer erstellt werden. Anschließend wird das Sicherheitsprofil mit dem Brokerarchiveditor auf einem einzelnen Knoten oder im gesamten Nachrichtenfluss konfiguriert. Wenn Sie das Sicherheitsprofil dem Nachrichtenfluss zuordnen, gilt es für alle Empfangs- und Sendeknoten mit aktivierter Sicherheit sowie für alle SecurityPEP-Knoten im Nachrichtenfluss. Einem einzelnen Knoten zugeordnete Sicherheitsprofile haben allerdings Vorrang vor Sicherheitsprofilen, die dem gesamten Nachrichtenfluss zugeordnet sind. Zur Definition der Weitergabe von Identitäten steht ein vordefiniertes Sicherheitsprofil mit der Bezeichnung Standardweitergabe zur Verfügung. Wenn für einen Knoten explizit keine Sicherheit definiert werden soll, ist für das Sicherheitsprofil Keine Sicherheit festzulegen.

  2. Ist ein Sicherheitsprofil einem Knoten oder Nachrichtenfluss zugeordnet, extrahiert der Empfangsknoten mit aktivierter Sicherheit die Identitätsinformationen aus der Eingabenachricht (unter Berücksichtigung der Konfiguration auf der Knoteneigenschaftenseite Sicherheit) und definiert im Ordner 'Eigenschaften' die Quellenidentitätselemente. Falls die Sicherheitstoken nicht erfolgreich extrahiert werden können, wird eine Sicherheitsausnahme ausgelöst.

    Wenn ein SOAPInput-Knoten die Identität aus dem WS-Security-Header (anstelle einer zugrunde liegenden Transportidentität) verwenden soll, müssen außerdem eine entsprechender Richtliniensatz und Bindungen für das betreffende Tokenprofil definiert und angegeben werden. Der Abschnitt Richtliniensätze enthält weitere Informationen hierzu.

    Bei MQ-, HTTP- oder SCA-Empfangsknoten wird über die Eigenschaftenseite Sicherheit die Identitätsextraktion konfiguriert. Der Standardwert lautet Transportstandard. So werden beispielsweise von einem HTTPInput-Knoten ein Benutzername und ein Kennwort aus dem HTTP-BasicAuth-Header extrahiert. Über die Eigenschaftenseite Sicherheit ist zur Steuerung der Extraktion eine explizite Konfiguration des Identitätstokentyps und seiner Speicherposition möglich. Diese Quellenidentitätsinformationen können sich in einem Nachrichtenheader und/oder im Nachrichtenhauptteil befinden.

    Informationen zu den von den einzelnen Knoten unterstützten Token finden Sie im Abschnitt Identität.

  3. Ist im Sicherheitsprofil Authentifizierung angegeben, ruft der Sicherheitsmanager zur Identitätsauthentifizierung den konfigurierten Sicherheitsprovider auf. Bei einem Fehler wird eine Sicherheitsausnahme an den Knoten zurückgegeben. Bei den von Nachrichtenbroker für die Authentifizierung unterstützten Sicherheitsprovidern handelt es sich um LDAP, WS-Trust V1.3-konforme Security Token Server (wie z. B. TFIM V6.2) und TFIM V6.1.

    Für das Authentifizierungsergebnis steht ein Sicherheitscache zur Verfügung, sodass in dem Nachrichtenfluss ankommende nachfolgende Nachrichten (mit denselben Berechtigungsnachweisen) mit dem zwischengespeicherten Ergebnis abgeschlossen werden können, sofern dieses noch nicht abgelaufen ist.

  4. Falls im Sicherheitsprofil ein Identitätsabgleich angegeben ist, ruft der Sicherheitsmanager den konfigurierten Sicherheitsprovider auf, damit dieser die Identität einer alternativen Identität zuordnen kann. Bei einem Fehler wird eine Sicherheitsausnahme an den Knoten zurückgegeben. Andernfalls werden die Informationen zu der zugeordneten Identität im Ordner 'Eigenschaften' in den Elementen der zugeordneten Identität festgelegt.

    Bei den von Nachrichtenbroker für den Identitätsabgleich unterstützten Sicherheitsprovidern handelt es sich um WS-Trust V1.3-konforme Security Token Server (wie z. B TFIM V6.2) und TFIM V6.1.

    Für das Ergebnis des Identitätsabgleichs wird ein Sicherheitscache bereitgestellt.

    Sie haben auch die Möglichkeit, an einem beliebigen Punkt im Nachrichtenfluss für die Zuordnung der am Empfangsknoten mit aktivierter Sicherheit authentifizierten Identität einen SecurityPEP-Knoten zu verwenden. Der Abschnitt Nachrichtenflusssicherheit unter Verwendung eines SecurityPEP-Knotens aufrufen enthält weitere Informationen hierzu.

  5. Falls im Sicherheitsprofil Autorisierung angegeben ist, ruft der Sicherheitsmanager den konfigurierten Sicherheitsprovider auf, damit dieser der (zugeordneten oder die Quelle bildenden) Identität die Berechtigung erteilt, auf diesen Nachrichtenfluss zuzugreifen. Bei einem Fehler wird eine Sicherheitsausnahme an den Knoten zurückgegeben.

    Bei den von Nachrichtenbroker für die Autorisierung unterstützten Sicherheitsprovidern handelt es sich um LDAP, WS-Trust V1.3-konforme Security Token Server (wie z. B. TFIM V6.2) und TFIM V6.1.

    Für das Ergebnis der Genehmigung wird ein Sicherheitscache bereitgestellt.

    Sie haben auch die Möglichkeit, an einem beliebigen Punkt im Nachrichtenfluss für die Autorisierung der am Empfangsknoten mit aktivierter Sicherheit authentifizierten Identität einen SecurityPEP-Knoten zu verwenden. Der Abschnitt Nachrichtenflusssicherheit unter Verwendung eines SecurityPEP-Knotens aufrufen enthält weitere Informationen hierzu.

  6. Nach Abschluss der gesamten Sicherheitsverarbeitung oder im Falle einer vom Sicherheitsmanager des Nachrichtenflusses ausgelösten Sicherheitsausnahme wird die Steuerung an den Empfangsknoten zurückgegeben.

    Wenn dem Empfangsknoten mit aktivierter Sicherheit eine Sicherheitsausnahme zurückgegeben wird, nimmt er die entsprechende Transportbearbeitung vor und beendet die Nachrichtenflusstransaktion. So gibt beispielsweise ein HTTPInput-Knoten einen HTTP-Header mit einem HTTP-Antwortcode '401' zurück, ohne dass eine Weitergabe an ein Ausgabeterminal erfolgt. Von einem SOAPInput-Knoten wird ein SOAP-Fehler mit einer Meldung der Sicherheitsausnahme zurückgegeben. Alternativ dazu wird eine Sicherheitsausnahme an das Fehlerterminal des Knotens weitergegeben, wenn auf dem Empfangsknoten mit aktivierter Sicherheit die Eigenschaft Sicherheitsausnahmen als normale Ausnahmebedingungen behandeln definiert ist. Die Weitergabe vom Empfangsknoten mit aktivierter Sicherheit an das Ausgangsterminal erfolgt nur, wenn alle im zugehörigen Sicherheitsprofil konfigurierten Operationen erfolgreich abgeschlossen werden.

  7. Die Nachricht, einschließlich des Ordners 'Eigenschaften' und der Informationen zur Quellen- und zugeordneten Identität, wird im Nachrichtenfluss weitergegeben.
  8. In den folgenden Knoten im Nachrichtenfluss ist für den Zugriff auf eine Ressource in einer solchen Datenbank möglicherweise eine Identität erforderlich. Bei der Identität für den Zugriff auf eine solche Ressource handelt es sich um eine Proxy-Identität und zwar entweder um die Identität des Brokers oder um eine Identität, die mit dem Befehl mqsisetdbparms für die betreffende Ressource konfiguriert wurde.
  9. Bei der Entwicklung eines Nachrichtenflusses können Sie die Identitätsfelder im Eigenschaftsordner für die Anwendungsverarbeitung verwenden (z. B. identitätsbasierte Weiterleitung oder Inhaltserstellung). Alternativ zum Aufruf der Zuordnung über einen WS-Trust V1.3-fähigen STS (wie z. B TFIM V6.2) oder TFIM V6.1 haben Sie auch die Möglichkeit, die Felder zur zugeordneten Identität in einem Rechenknoten wie z. B. einem Compute-, JavaCompute-, PHPCompute- oder Mapping-Knoten festzulegen.
  10. Wenn die Nachricht einen Sende- oder Anforderungsknoten mit aktivierter Sicherheit (MQOutput, HTTPRequest, SOAPRequest oder SOAPAsyncRequest) erreicht, wird in einem dem Knoten zugeordneten Sicherheitsprofil (mit aktivierter Weitergabe) angegeben, dass beim Senden der Nachricht das aktuelle Identitätstoken weitergegeben werden soll.

    Wenn das Sicherheitsprofil angibt, dass die Weitergabe erforderlich ist, wird die zugeordnete Identität verwendet. Ist die zugeordnete Identität nicht definiert oder wird ihr Tokentyp von dem Knoten nicht unterstützt, wird die Quellenidentität verwendet. Ist keine Identität definiert oder wird weder der Tokentyp der zugeordneten Identität noch der Quellenidentität von dem Knoten unterstützt, wird eine Sicherheitsausnahme an den Knoten zurückgegeben.

    Bei SOAP-Knoten müssen dem Knoten außerdem der entsprechende Richtliniensatz und die Bindungen für das Tokenprofil zugeordnet sein.

    Soll in die an einem Sendeknoten ausgegebene Nachricht ein Sicherheitstoken aufgenommen werden und kann diese Art von Token von dem Sendeknoten nicht weitergegeben werden, können Sie das Token über einen Rechenknoten (vor dem Sendeknoten) aus der Eigenschaftenbaumstruktur in die entsprechende Nachrichtenposition einreihen.

    Informationen zu den von den einzelnen Knoten unterstützten Token finden Sie im Abschnitt Weitergabe der Identitäts- und Sicherheitstoken.

  11. Die weitergegebene Identität ist in den entsprechenden Nachrichtenheader eingeschlossen, wenn dieser gesendet wird.
Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:23:18


KonzeptthemaKonzeptthema | Version 8.0.0.5 | bp28150_