Sie können ein Sicherheitsprofil, das einen WS-Trust V1.3-konformen Security Token
Server (STS) verwendet, mit dem Befehl
mqsicreateconfigurableservice erstellen, indem Sie
den Konfigurationsparameter auf die vollständige URL des STS setzen.
Die URL muss aus dem
Transportschema, Hostnamen, Port und Pfad bestehen. Für den WS-Trust V1.3-Endpunkt TFIM V6.2 lautet
der Pfad
/TrustServerWST13/services/RequestSecurityToken.
Beispiel:
http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
Geben Sie folgenden Befehl ein, um ein Sicherheitsprofil zu erstellen, das WS-Trust v1.3 für
die Zuordnung verwendet: mqsicreateconfigurableservice Brokername -c SecurityProfiles
-o Profilname -n mapping,mappingConfig
-v "WS-Trust v1.3 STS",http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
Wenn die URL eine Adresse angibt, die mit
https:// beginnt, wird für Anfragen
an den WS-Trust v1.3-Server eine durch SSL gesicherte Verbindung verwendet. Geben Sie
beispielsweise folgenden Befehl ein, um ein Sicherheitsprofil zu erstellen, das eine
HTTPS-Verbindung mit WS-Trust v1.3 für die Zuordnung verwendet:
mqsicreateconfigurableservice Brokername -c SecurityProfiles
-o Profilname -n mapping,mappingConfig
-v "WS-Trust v1.3 STS",https://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
Zusätzlich zur Angabe der URL des Sicherheitsprofils in Form einer mit
https:// beginnenden Adresse können Sie durch die Definition von Brokerumgebungsvariablen die folgenden erweiterten Parameter konfigurieren:
- MQSI_STS_SSL_PROTOCOL
- Die Version des zu verwendenden SSL-Protokolls. Folgendes sind gültige Werte:
Der Anfangswert lautet SSLv3.
- MQSI_STS_SSL_ALLOWED_CIPHERS
- Eine durch Leerzeichen getrennte Liste der Verschlüsselungswerte, die verwendet werden können.
Eine Liste aller von WebSphere Message
Broker unterstützten Cipher-Suites finden Sie in der Java™-Produktinformation für Ihr Betriebssystem. Für Betriebssysteme, die IBM® Java verwenden, beachten Sie Anhang A des
IBM JSSE2
Guide: http://www.ibm.com/developerworks/java/jdk/security/60/secguides/jsse2Docs/JSSE2RefGuide.html
- MQSI_STS_REQUEST_TIMEOUT
- Das Zeitlimit für die STS-Anforderung in Sekunden. Der Anfangswert lautet 100. Informationen zur Angabe von Umgebungsvariablen für den Broker finden Sie im Abschnitt Befehlsumgebung einrichten.
Wenn WS-Trust v1.3 STS für mehr als eine Operation ausgewählt wird (z. B. für die
Authentifizierung und die Zuordnung), muss die URL des WS-Trust v1.3-Servers für alle Operationen
identisch sein. Daher erfolgt die Angabe nur einmal.
Im folgenden Beispiel wird ein Sicherheitsprofil erstellt, das TFIM V6.2 für die
Authentifizierung, Zuordnung und Autorisierung verwendet:
mqsicreateconfigurableservice MYBROKER -c SecurityProfiles -o MyWSTrustProfile
-n authentication,mapping,authorization,propagation,mappingConfig
-v "WS-Trust v1.3 STS","WS-Trust v1.3 STS","WS-Trust v1.3 STS",TRUE,http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken