In diesem Abschnitt wird die Broker-Web-Services-Funktionalität für den Identitätsabgleich unter Verwendung eines Kerberos-Tokens erläutert.
Für den Tokenabgleich mit einem im Sicherheitsprofil konfigurierten externen Security Token Server (STS) werden keine Kerberos-Tickets aus SOAP-Knoten unterstützt.
Auf der eingehenden Route mit SOAPInput- und SOAPAsyncResponse-Knoten hat das Vorhandensein eines Sicherheitsprofils mit aktivierter Weitergabe zur Folge, dass der Kerberos-Service-Principalname (SPN) als Benutzernamenstoken in die Eigenschaftenbaumstruktur gestellt wird.
Auf der abgehenden Route mit SOAPRequest- und SOAPAsyncRequest-Knoten können über die Weitergabe von Identitäten die Berechtigungsnachweise des Kerberos-Key-Distribution-Centers (KDC) bereitgestellt werden. Achten Sie darauf, dass die KDC-Berechtigungsnachweise in der Eigenschaftenbaumstruktur als Benutzernamens- und Kennworttoken definiert werden, und ordnen Sie den SOAP-Knoten einem Sicherheitprofil zu, in dem eine Weitergabe angegeben ist. Andernfalls werden die KDC-Berechtigungsnachweise über die mit dem Befehl mqsisetdbparms erstellten Kerberos-Ressourcenberechtigungsnachweise erhalten.