Der Nachrichtenfluss-Sicherheitsmanager kann aufgerufen werden, indem ein Empfangsknoten mit aktivierter Sicherheit konfiguriert wird.
Im folgenden Diagramm sehen Sie ein Beispiel für einen Nachrichtenfluss sowie eine Übersicht über die Folge der Ereignisse, die eintreten, wenn im Nachrichtenfluss von einem Empfangsknoten mit aktivierter Sicherheit eine Eingabenachricht empfangen wird:
Sicherheitsprofile können über den Befehl mqsicreateconfigurableservice oder über einen Editor im WebSphere Message Broker Explorer erstellt werden. Anschließend wird das Sicherheitsprofil mit dem Brokerarchiveditor auf einem einzelnen Knoten oder im gesamten Nachrichtenfluss konfiguriert. Wenn Sie das Sicherheitsprofil dem Nachrichtenfluss zuordnen, gilt es für alle Empfangs- und Sendeknoten mit aktivierter Sicherheit sowie für alle SecurityPEP-Knoten im Nachrichtenfluss. Einem einzelnen Knoten zugeordnete Sicherheitsprofile haben allerdings Vorrang vor Sicherheitsprofilen, die dem gesamten Nachrichtenfluss zugeordnet sind. Zur Definition der Weitergabe von Identitäten steht ein vordefiniertes Sicherheitsprofil mit der Bezeichnung Standardweitergabe zur Verfügung. Wenn für einen Knoten explizit keine Sicherheit definiert werden soll, ist für das Sicherheitsprofil Keine Sicherheit festzulegen.
Wenn ein SOAPInput-Knoten die Identität aus dem WS-Security-Header (anstelle einer zugrunde liegenden Transportidentität) verwenden soll, müssen außerdem eine entsprechender Richtliniensatz und Bindungen für das betreffende Tokenprofil definiert und angegeben werden. Der Abschnitt Richtliniensätze enthält weitere Informationen hierzu.
Bei MQ-, HTTP- oder SCA-Empfangsknoten wird über die Eigenschaftenseite Sicherheit die Identitätsextraktion konfiguriert. Der Standardwert lautet Transportstandard. So werden beispielsweise von einem HTTPInput-Knoten ein Benutzername und ein Kennwort aus dem HTTP-BasicAuth-Header extrahiert. Über die Eigenschaftenseite Sicherheit ist zur Steuerung der Extraktion eine explizite Konfiguration des Identitätstokentyps und seiner Speicherposition möglich. Diese Quellenidentitätsinformationen können sich in einem Nachrichtenheader und/oder im Nachrichtenhauptteil befinden.
Informationen zu den von den einzelnen Knoten unterstützten Token finden Sie im Abschnitt Identität.
Für das Authentifizierungsergebnis steht ein Sicherheitscache zur Verfügung, sodass in dem Nachrichtenfluss ankommende nachfolgende Nachrichten (mit denselben Berechtigungsnachweisen) mit dem zwischengespeicherten Ergebnis abgeschlossen werden können, sofern dieses noch nicht abgelaufen ist.
Bei den von Nachrichtenbroker für den Identitätsabgleich unterstützten Sicherheitsprovidern handelt es sich um WS-Trust V1.3-konforme Security Token Server (wie z. B TFIM V6.2) und TFIM V6.1.
Für das Ergebnis des Identitätsabgleichs wird ein Sicherheitscache bereitgestellt.
Sie haben auch die Möglichkeit, an einem beliebigen Punkt im Nachrichtenfluss für die Zuordnung der am Empfangsknoten mit aktivierter Sicherheit authentifizierten Identität einen SecurityPEP-Knoten zu verwenden. Der Abschnitt Nachrichtenflusssicherheit unter Verwendung eines SecurityPEP-Knotens aufrufen enthält weitere Informationen hierzu.
Bei den von Nachrichtenbroker für die Autorisierung unterstützten Sicherheitsprovidern handelt es sich um LDAP, WS-Trust V1.3-konforme Security Token Server (wie z. B. TFIM V6.2) und TFIM V6.1.
Für das Ergebnis der Genehmigung wird ein Sicherheitscache bereitgestellt.
Sie haben auch die Möglichkeit, an einem beliebigen Punkt im Nachrichtenfluss für die Autorisierung der am Empfangsknoten mit aktivierter Sicherheit authentifizierten Identität einen SecurityPEP-Knoten zu verwenden. Der Abschnitt Nachrichtenflusssicherheit unter Verwendung eines SecurityPEP-Knotens aufrufen enthält weitere Informationen hierzu.
Wenn dem Empfangsknoten mit aktivierter Sicherheit eine Sicherheitsausnahme zurückgegeben wird, nimmt er die entsprechende Transportbearbeitung vor und beendet die Nachrichtenflusstransaktion. So gibt beispielsweise ein HTTPInput-Knoten einen HTTP-Header mit einem HTTP-Antwortcode '401' zurück, ohne dass eine Weitergabe an ein Ausgabeterminal erfolgt. Von einem SOAPInput-Knoten wird ein SOAP-Fehler mit einer Meldung der Sicherheitsausnahme zurückgegeben. Alternativ dazu wird eine Sicherheitsausnahme an das Fehlerterminal des Knotens weitergegeben, wenn auf dem Empfangsknoten mit aktivierter Sicherheit die Eigenschaft Sicherheitsausnahmen als normale Ausnahmebedingungen behandeln definiert ist. Die Weitergabe vom Empfangsknoten mit aktivierter Sicherheit an das Ausgangsterminal erfolgt nur, wenn alle im zugehörigen Sicherheitsprofil konfigurierten Operationen erfolgreich abgeschlossen werden.
Wenn das Sicherheitsprofil angibt, dass die Weitergabe erforderlich ist, wird die zugeordnete Identität verwendet. Ist die zugeordnete Identität nicht definiert oder wird ihr Tokentyp von dem Knoten nicht unterstützt, wird die Quellenidentität verwendet. Ist keine Identität definiert oder wird weder der Tokentyp der zugeordneten Identität noch der Quellenidentität von dem Knoten unterstützt, wird eine Sicherheitsausnahme an den Knoten zurückgegeben.
Bei SOAP-Knoten müssen dem Knoten außerdem der entsprechende Richtliniensatz und die Bindungen für das Tokenprofil zugeordnet sein.
Soll in die an einem Sendeknoten ausgegebene Nachricht ein Sicherheitstoken aufgenommen werden und kann diese Art von Token von dem Sendeknoten nicht weitergegeben werden, können Sie das Token über einen Rechenknoten (vor dem Sendeknoten) aus der Eigenschaftenbaumstruktur in die entsprechende Nachrichtenposition einreihen.
Informationen zu den von den einzelnen Knoten unterstützten Token finden Sie im Abschnitt Weitergabe der Identitäts- und Sicherheitstoken.