Verwenden Sie den SecurityPEP-Knoten in einem Nachrichtenfluss, um den Nachrichtenflusssicherheitsmanager an einem beliebigen Punkt im Nachrichtenfluss aufzurufen.
Dieses Thema ist in folgende Abschnitte eingeteilt:
Über den SecurityPEP-Knoten können Sie den Nachrichtenflusssicherheitsmanager an einem beliebigen Punkt im Nachrichtenfluss zwischen einem Empfangs- und einem Sendeknoten (oder Anforderungsknoten) aufrufen.
Mithilfe der Nachrichtenflusssicherheit kann der Broker ein Identitäts- oder Sicherheitstoken, das in einer Nachricht durch einen Nachrichtenfluss transportiert wird, durchgängig verarbeiten (End-to-End-Verarbeitung). Dadurch haben Sie die Möglichkeit, Sicherheit für einen Nachrichtenfluss zu konfigurieren und so den Zugriff über das der Nachricht zugeordnete Identitäts- oder Sicherheitstoken zu steuern sowie einen Sicherheitsmechanismus bereitstellen, der unabhängig vom Transporttyp und Nachrichtenformat ist.
Über den SecurityPEP-Knoten können Sie den Sicherheitsmanager auch dann aufrufen, wenn die Empfangsknoten Ihres Nachrichtenflusses keine Nachrichtenflusssicherheit unterstützen (z. B. TCPIPClientInput- oder SAPInput-Knoten). Wenn Sie Empfangsknoten verwenden, die keine Nachrichtenflusssicherheit unterstützen, oder die Nachricht auf irgendeine Weise verarbeitet oder weitergeleitet werden muss, bevor die erforderliche Sicherheitsoperation ermittelt werden kann, können Sie über den SecurityPEP-Knoten die Nachrichtenflusssicherheit aufrufen.
Außerdem bietet der SecurityPEP-Knoten die Möglichkeit, unterschiedliche Sicherheitsaspekte an unterschiedlichen Punkten im Nachrichtenfluss aufzurufen. So könnte es beispielsweise sein, dass an einem Empfangsknoten mit aktivierter Sicherheit eine Authentifizierung erforderlich ist, während an anderer Stelle eine Tokenzuordnung und -autorisierung erforderlich ist, nachdem eine bestimmte Logik im Nachrichtenfluss die notwendige Geschäftsoperation ermittelt hat. Oder Sie verwenden vielleicht einen Nachrichtenfluss mit mehreren Anforderungsknoten, für die SecurityPEP-Knoten erforderlich sind, die einen bestimmten Typ von Sicherheitstoken einem anderen Typ zuordnen, damit eine Weitergabe durch die Anforderungsknoten möglich ist.
Sie können über die Knoteneigenschaften die Position des Sicherheitstokens in der Nachrichtenbaumstruktur angeben. Die Eigenschaften enthalten einen XPath-Ausdruck oder ESQL-Pfad, der die Position der Sicherheitstokens in den Nachrichtenbaumstrukturen definiert. Der Nachrichtenflusssicherheitsmanager extrahiert diese Informationen aus der Nachricht und sendet sie an den externen Richtlinienentscheidungspunkt (Policy Decision Point, PDP), der die Informationen zur Authentifizierung, Autorisierung oder Zuordnung verwendet. Der zu verwendende Richtlinienentscheidungspunkt wird über das zugeordnete Sicherheitsprofil konfiguriert.
Alternativ können Sie den SecurityPEP-Knoten so konfigurieren, dass er die aktuellen Tokens verwendet, die bereits von einem vorgelagerten Empfangs- oder SecurityPEP-Knoten extrahiert und im Ordner 'Eigenschaften' gespeichert wurden. Wenn der Knoten mit dem Tokentyp Current token (Aktuelles Token) konfiguriert ist, wird, falls ein zugeordnetes Token vorhanden ist, das zugeordnete Token verwendet; andernfalls wird das Quellentoken verwendet.
Dem SecurityPEP-Knoten muss ein Sicherheitsprofil zugeordnet sein, in dem die Sicherheitsoperationen angegeben sind, die vom Knoten durchgesetzt werden müssen, einschließlich Authentifizierung, Autorisierung und Zuordnung. Wenn dem Knoten kein Sicherheitsprofil zugeordnet ist, gibt der Knoten die Nachricht an das Ausgabeterminal weiter, ohne irgendwelche Sicherheitsoperationen durchzusetzen. Sicherheitsprofile werden vom Brokeradministrator vor der Implementierung eines Nachrichtenflusses konfiguriert; während der Ausführungszeit greift der Sicherheitsmanager auf diese Profile zu. Wenn entweder in einem Nachrichtenfluss oder einem Knoten ein Sicherheitsprofil angegeben ist, muss das Profil bei der Implementierung des Nachrichtenflusses verfügbar sein; andernfalls tritt bei der Implementierung ein Fehler auf.
Im zugehörigen Sicherheitsprofil können Sie auch den zu verwendenden externen Sicherheitsprovider (LDAP, WS-Trust V1.3 STS oder TFIM V6.1) angeben und die Art und Weise konfigurieren, wie dieser verwendet werden soll. Das Sicherheitsprofil wird während der Implementierung dem SecurityPEP-Knoten (oder dem Nachrichtenfluss, zu dem dieser gehört) zugeordnet, indem die Eigenschaft Sicherheitsprofil mit dem Brokerarchiveditor bearbeitet wird.
Informationen zu den Typen von Sicherheitstokens, die vom SecurityPEP-Knoten unterstützt werden, finden Sie im Abschnitt Identität.
Der SecurityPEP-Knoten gibt Nachrichten nur dann an das Ausgabeterminal weiter, wenn alle konfigurierten Sicherheitsoperationen erfolgreich ausgeführt wurden. Die Eingabenachrichten werden unverändert weitergegeben, unabhängig von der Belegung der Quellenidentität und der zugeordneten Identität (sofern vorhanden).
Beim Scheitern einer konfigurierten Sicherheitsoperation wird vom SecurityPEP-Knoten eine Sicherheitsausnahme ausgegeben, die anders als bei Empfangsknoten mit aktivierter Sicherheit in eine behebbare Ausnahme eingeschlossen ist. Daraufhin wird die vom Nachrichtenfluss bereitgestellte Fehlerbehandlung aufgerufen. Auf diese Weise kann die Ausnahmebedingung abgefangen und verarbeitet werden. Es besteht auch die Möglichkeit, zur Behandlung von Ausnahmen des SecurityPEP-Knotens das Fehlerterminal des Knotens in eine spezielle Verarbeitungslogik für Sicherheitsfehler einzubinden. Beim Scheitern einer Sicherheitsoperation bleiben die Eingabenachrichten unverändert, bis auf die Belegung der Ausnahmeliste.
Der SecurityPEP-Knoten befindet sich im Ablagefach Sicherheit der Palette und wird im WebSphere Message Broker Toolkit durch folgendes Symbol dargestellt:
Informationen zu Beispielen können nur bei Verwendung des in das WebSphere Message Broker Toolkit integrierten bzw. online verfügbaren Information Center angezeigt werden. Muster können nur ausgeführt werden, wenn das im WebSphere Message Broker Toolkit integrierte Information Center verwendet wird.
Nachdem Sie eine Instanz des SecurityPEP-Knotens in einen Nachrichtenfluss eingereiht haben, können Sie den Knoten konfigurieren; siehe Nachrichtenflussknoten konfigurieren. Die Eigenschaften des Knotens werden in der Ansicht 'Eigenschaften' angezeigt.
Alle verbindlichen Eigenschaften, für die kein Standardwert definiert ist, sind mit einem Stern markiert.
Konfigurieren Sie den SecurityPEP-Knoten:
Wenn Aktuelles Token ausgewählt ist, sind die Felder Position des Identitätstokens und Position des Identitätskennworts inaktiviert.
Diese Eigenschaft ist inaktiviert, wenn die Eigenschaft Identitätstokentyp auf Aktuelles Token gesetzt ist.
Diese Option kann nur festgelegt werden, wenn der Identitätstokentyp auf Benutzername + Kennwort gesetzt ist.
Diese Eigenschaft ist inaktiviert, wenn die Eigenschaft Identitätstokentyp auf Aktuelles Token gesetzt ist.
Wenn im zugehörigen Sicherheitsprofil ein WS-Trust v1.3 STS-Provider angegeben ist (z. B. TFIM V6.2) und dieses Feld leer bleibt, wird in die WS-Trust-Anforderung kein WS-Trust-Element 'Issuer.Address' (Aussteller.Adresse) aufgenommen.
Dieser Wert kann als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben werden. Ein Zeichenfolgeliteral muss in einfachen Anführungszeichen stehen und darf keinen Punkt (.) enthalten.,
Standardmäßig ist dieser Wert eine URI für den vollständig qualifizierten Namen des Nachrichtenflusses im Format uri:Brokername.Ausführungsgruppenname.Nachrichtenflussname.
Dieser Wert kann als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben werden. Zeichenfolgeliterale müssen in einfache Anführungszeichen gesetzt werden und dürfen keinen Punkt (.) enthalten,
Dieser Wert bleibt standardmäßig leer, d. h., dieses Element wird nicht in die WS-Trust-Anforderung aufgenommen.
Dieser Wert kann als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben werden. Ein Zeichenfolgeliteral muss in einfachen Anführungszeichen stehen und darf keinen Punkt (.) enthalten.,
Weitere Informationen finden Sie in den Abschnitten Übersicht über Nachrichtenflusssicherheit und Nachrichtenflusssicherheit einrichten.
In der folgenden Tabelle werden die Terminals des SecurityPEP-Knotens beschrieben.
Terminal | Beschreibung |
---|---|
Eingabeterminal (In) | Das Eingabeterminal, das eine Nachricht zur Verarbeitung annimmt. |
Ausgang | Das Ausgabeterminal, an das die Nachricht weitergeleitet wird, wenn dem SecurityPEP-Knoten ein Sicherheitsprofil zugeordnet ist und alle konfigurierten Sicherheitsoperationen erfolgreich ausgeführt wurden. Die weitergegebenen Identitätselemente des Eigenschaftenordners werden durch die konfigurierten Sicherheitsoperationen aktualisiert. |
Fehlerterminal (Failure) | Das Ausgabeterminal, an das die Nachricht weitergeleitet wird, wenn im Knoten ein Fehler auftritt, wenn beispielsweise von den konfigurierten Sicherheitsoperationen eine Ausnahme zurückgegeben wird. |
In den folgenden Tabellen werden die Knoteneigenschaften beschrieben. Die Spalte O zeigt an, ob die Eigenschaft obligatorisch ist (markiert mit einem Stern, wenn ein Wert eingegeben werden muss, weil kein Standardwert definiert ist). Die Spalte K zeigt an, ob die Eigenschaft konfigurierbar ist (Wert kann geändert werden, wenn der Nachrichtenfluss zur BAR-Datei hinzugefügt wird, um ihn zu implementieren).
In der folgenden Tabelle werden die Eigenschaften für die Beschreibung des SecurityPEP-Knotens beschrieben.
Eigenschaft | O | K | Standardwert | Beschreibung |
---|---|---|---|---|
Knotenname | Nein | Nein | Knotentyp, z. B. SecurityPEP | Der Name des Knotens. |
Kurzbeschreibung | Nein | Nein | Kurze Beschreibung des Knotens. | |
Langbeschreibung | Nein | Nein | Text, der den Zweck des Knotens im Nachrichtenfluss beschreibt |
In der folgenden Tabelle werden die Basiseigenschaften des SecurityPEP-Knotens beschrieben. Geben Sie Werte für diese Eigenschaften an, um die Extraktion einer Identität aus einer Nachricht zu steuern (wenn dem Knoten ein Sicherheitsprofil zugeordnet ist). Weitere Informationen zu diesen Eigenschaften finden Sie in den Abschnitten Identität, Extraktion eines Identitäts- oder Sicherheitstokens konfigurieren, Übersicht über Nachrichtenflusssicherheit und Nachrichtenflusssicherheit einrichten.
Eigenschaft | O | K | Standardwert | Beschreibung |
---|---|---|---|---|
Identitätstokentyp | Nein | Nein | Ohne | Diese Eigenschaft gibt den Typ des Identitätstokens an, das in der eingehenden Nachricht vorhanden ist. Folgendes sind gültige Werte:
Sie können auch Benutzername und Kennwort angeben, um ein RACF-PassTicket mit einem WS-Trust V1.3 STS (z. B. TFIM V6.2) zu überprüfen. |
Position des Identitätstokens | Nein | Nein | Ohne | Diese Eigenschaft gibt die Position des Identitäts- oder Sicherheitstokens in der Nachricht an. Die Position wird als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben. Zeichenfolgeliterale müssen in einfache Anführungszeichen gesetzt werden und dürfen keinen Punkt (.) enthalten, |
Position des Identitätskennworts | Nein | Nein | Ohne | Diese Eigenschaft gibt die Position des Kennworts in der Nachricht an. Die Position wird als
ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben.
Zeichenfolgeliterale müssen in einfache Anführungszeichen gesetzt werden und dürfen keinen Punkt (.) enthalten, Diese Eigenschaft kann nur festgelegt werden, wenn Identitätstokentyp auf Benutzername und Kennwort gesetzt ist. |
Identität-issuedBy-Position | Nein | Nein | Ohne | Diese Eigenschaft gibt einen XPath-Ausdruck oder ESQL-Pfad an, der den
Aussteller des Identitäts- oder Sicherheitstokens beschreibt. Die Position wird als
ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben. Ein Zeichenfolgeliteral muss in einfachen Anführungszeichen stehen und darf keinen Punkt (.) enthalten., Diese Option wird verwendet, wenn das zugehörige Sicherheitsprofil einen WS-Trust V1.3 STS-Provider (z. B. TFIM V6.2) für die Authentifizierung, Zuordnung oder Autorisierung angibt. In diesem Fall wird, wenn dieses Feld leer bleibt, kein WS-Trust-Element 'Issuer.Address' (Aussteller.Adresse) gesendet. |
In der folgenden Tabelle werden die erweiterten Eigenschaften des SecurityPEP-Knotens beschrieben. Diese Eigenschaften werden nur verwendet, wenn im Sicherheitsprofil ein WS-Trust V1.3 STS (z. B. TFIM V6.2) angegeben ist.
Eigenschaft | O | K | Standardwert | Beschreibung |
---|---|---|---|---|
WS-Trust AppliesTo-Adresse | Nein | Ja | Nicht festgelegt | Diese Eigenschaft gibt die Adresse für das Element
/wst:RequestSecurityToken/wsp:AppliesTo der WS-Trust-Nachricht an. Stellen Sie
über diese Eigenschaft die URI des Service bereit, für den das Sicherheitstoken überprüft oder
ausgestellt werden soll. Dieser Wert kann als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben werden. Ein Zeichenfolgeliteral muss in einfachen Anführungszeichen stehen und darf keinen Punkt (.) enthalten., Standardmäßig ist dieser Wert eine URI für den vollständig qualifizierten Namen des Nachrichtenflusses im Format uri:Brokername.Ausführungsgruppenname.Nachrichtenflussname. |
WS-Trust AppliesTo-Service | Nein | Ja | Nicht festgelegt | Diese Eigenschaft gibt den Servicenamen für das Element
/wst:RequestSecurityToken/wsp:AppliesTo der WS-Trust-Nachricht an. Stellen Sie
über diese Eigenschaft den Servicenamen des Service bereit, für den das Sicherheitstoken überprüft
oder ausgestellt werden soll. Dieser Wert kann als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben werden. Zeichenfolgeliterale müssen in einfache Anführungszeichen gesetzt werden und dürfen keinen Punkt (.) enthalten, Dieser Wert bleibt standardmäßig leer, d. h., dieses Element wird nicht in die WS-Trust-Anforderung aufgenommen. |
WS-Trust AppliesTo-Porttyp | Nein | Ja | Nicht festgelegt | Diese Eigenschaft gibt den Porttyp für das Element
/wst:RequestSecurityToken/wsp:AppliesTo der WS-Trust-Nachricht an. Stellen Sie
über diese Eigenschaft den Porttyp des Service bereit, für den das Sicherheitstoken überprüft oder
ausgestellt werden soll. Dieser Wert kann als ESQL-Feldreferenz, XPath-Ausdruck oder Zeichenfolgeliteral angegeben werden. Ein Zeichenfolgeliteral muss in einfachen Anführungszeichen stehen und darf keinen Punkt (.) enthalten., Dieser Wert bleibt standardmäßig leer, d. h., dieses Element wird nicht in die WS-Trust-Anforderung aufgenommen. |
Eigenschaft | O | K | Standardwert | Beschreibung |
---|---|---|---|---|
Ereignisse | Nein | Nein | Ohne | Auf dieser Registerkarte werden Ereignisse angezeigt, die Sie für den Knoten
definiert haben. Standardmäßig sind für keinen Knoten in einem Nachrichtenfluss
Überwachungsereignisse definiert. Über Hinzufügen,
Bearbeiten und Löschen können Sie
Überwachungsereignisse für den Knoten erstellen, ändern oder löschen (Details siehe
Überwachungsereignisquellen mithilfe von Überwachungseigenschaften konfigurieren). Sie können hier angezeigte Ereignisse aktivieren oder inaktivieren, indem Sie das Kontrollkästchen Aktiviert aktivieren oder inaktivieren. |