WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Nachrichtenflusssicherheit unter Verwendung eines SecurityPEP-Knotens aufrufen

Über einen SecurityPEP-Knoten kann der Sicherheitsmanager des Nachrichtenflusses an einer beliebigen Stelle in einem Nachrichtenfluss zwischen einem Empfangsknoten und einem Sende- oder Anforderungsknoten aufgerufen werden.

Im folgenden Diagramm sehen Sie ein Beispiel für einen Nachrichtenfluss sowie eine Übersicht über die Folge der Ereignisse, die eintreten, wenn von einem Empfangsknoten ohne Sicherheitsaktivierung (bzw. ohne zugeordnetes Sicherheitsprofil) eine Eingabenachricht empfangen wird, die später von einem SecurityPEP-Knoten im Nachrichtenfluss verarbeitet wird:

Diagramm mit der Folge von Ereignissen, die eintreten, wenn eine Nachricht in einem Nachrichtenfluss an einem SecurityPEP-Knoten ankommt.
Im Folgenden wird die Abfolge der Ereignisse erläutert, die eintreten, wenn eine Nachricht an einem Empfangsknoten ohne Sicherheitsaktivierung (bzw. ohne zugeordnetes Sicherheitsprofil) ankommt. Die Zahlen entsprechen denen im Diagramm oben:
  1. SecurityPEP-Knoten können an einer beliebigen Stelle in einem Nachrichtenfluss zwischen einem Empfangs- und einem Sende- oder Anforderungsknoten verwendet werden. Mit dem SecurityPEP-Knoten ist in folgenden Situationen eine Sicherheitsanwendung in einem Nachrichtenfluss möglich:
    • Bei einem Nachrichtenflussempfangsknoten ohne Sicherheitsaktivierung (z. B. FileInput-, TCPIPClientInput-, SAPInput- und JMSInput-Knoten).
    • Wenn die Sicherheit an dem Empfangsknoten des Nachrichtenflusses zwar aktiviert ist und der Knoten für Authentifizierungsoperationen konfiguriert werden könnte, der Nachrichtenfluss jedoch ein Routing bzw. eine Filterung vornehmen muss, bevor die aufzurufende Geschäftsfunktion bekannt ist. In diesem Fall muss die Autorisierung zu einem späteren Zeitpunkt in der Nachrichtenflusslogik erfolgen.
    • Wenn der Nachrichtenfluss mehrere Sende- oder Anforderungsknoten umfasst, für die jeweils vor dem Knoten ein spezieller Identitätsabgleich durchgeführt werden muss, um die entsprechenden Sicherheitstoken für die Weitergabe zu erhalten.
    Die an den SecurityPEP-Knoten weitergegebene Nachrichtenbaumstruktur umfasst die Identitätsfelder der Eigenschaftenbaumstruktur. Diese Felder sind leer, es sei denn, es wurden bereits Identitätstoken von einem Empfangsknoten mit aktivierter Sicherheit (oder einem vorherigen SecurityPEP-Knoten) Identitätstoken extrahiert und möglicherweise einige Sicherheitsoperationen ausgeführt.
  2. Wenn eine Nachricht an einem SecurityPEP-Knoten ankommt, weist das Vorhandensein eines dem Knoten zugeordneten Sicherheitsprofils darauf hin, ob die Nachrichtenflusssicherheit konfiguriert ist. Der Sicherheitsmanager des Brokers wird aufgerufen, um das Profil zu lesen, in dem die Kombination aus Weitergabe, Authentifizierung, Autorisierung und Zuordnung festgelegt ist, die für die Identität der Nachricht ausgeführt werden soll. Auch der zu verwendende externe Sicherheitsprovider (auch als Policy Decision Point (Richtlinienentscheidungspunkt) oder PDP bezeichnet) ist angegeben.

    Sicherheitsprofile können über den Befehl mqsicreateconfigurableservice oder über einen Editor im WebSphere Message Broker Explorer erstellt werden. Anschließend wird das Sicherheitsprofil mit dem Brokerarchiveditor auf einem einzelnen Knoten oder im gesamten Nachrichtenfluss konfiguriert. Wenn Sie das Sicherheitsprofil dem Nachrichtenfluss zuordnen, gilt es für alle Empfangs- und Sendeknoten mit aktivierter Sicherheit sowie für alle SecurityPEP-Knoten im Nachrichtenfluss. Einem einzelnen Knoten zugeordnete Sicherheitsprofile haben allerdings Vorrang vor Sicherheitsprofilen, die dem gesamten Nachrichtenfluss zugeordnet sind. Zur Definition der Weitergabe von Identitäten sowie zur expliziten Sicherheitsinaktivierung auf einem Knoten stehen vordefinierte Sicherheitsprofile zur Verfügung.

  3. Ist ein Sicherheitsprofil einem SecurityPEP-Knoten oder Nachrichtenfluss zugeordnet, extrahiert der Knoten die Identitätsinformationen unter Berücksichtigung der Knotenkonfiguration aus der Nachrichtenbaumstruktur und definiert im Ordner 'Eigenschaften' die Quellenidentitätselemente. Legt der Knoten den Tokentyp Aktueller Token fest, werden die vorhandenen Identitätstoken in den Eigenschaftsfeldern zur zugeordneten Identität verwendet (sofern vorhanden). Sind in den Eigenschaftsfeldern zur zugeordneten Identität keine Identitätstoken vorhanden, werden die Token in den Eigenschaftsfeldern zur Quellenidentität verwendet. Falls eine erfolgreiche Extraktion der Sicherheitstoken nicht möglich ist, wird eine Sicherheitsausnahme ausgelöst und an das Fehlerterminal weitergegeben (falls verbunden).
  4. Ist im Sicherheitsprofil Authentifizierung angegeben, ruft der Sicherheitsmanager zur Identitätsauthentifizierung den konfigurierten Sicherheitsprovider auf. Bei einem Fehler wird eine Sicherheitsausnahme an den Knoten zurückgegeben. Bei den vom Nachrichtenbroker für die Authentifizierung unterstützten Sicherheitsprovidern handelt es sich um LDAP, WS-Trust v1.3-konforme Security Token Server (wie z. B. TFIM V6.2) und TFIM V6.1.

    Für das Authentifizierungsergebnis steht ein Sicherheitscache zur Verfügung, sodass in dem Nachrichtenfluss ankommende nachfolgende Nachrichten (mit denselben Berechtigungsnachweisen) mit dem zwischengespeicherten Ergebnis abgeschlossen werden können, sofern dieses noch nicht abgelaufen ist.

  5. Falls im Sicherheitsprofil ein Identitätsabgleich angegeben ist, ruft der Sicherheitsmanager den konfigurierten Sicherheitsprovider auf, damit dieser die Identität einer alternativen Identität zuordnen kann. Bei einem Fehler wird eine Sicherheitsausnahme an den Knoten zurückgegeben. Andernfalls werden die Informationen zur zugeordneten Identität im Ordner 'Eigenschaften' in den Elementen der zugeordneten Identität festgelegt.

    Bei den vom Nachrichtenbroker für den Identitätsabgleich unterstützten Sicherheitsprovidern handelt es sich um WS-Trust V1.3-konforme Security Token Server (wie z. B. TFIM V6.2) und TFIM V6.1.

    Für das Ergebnis des Identitätsabgleichs wird ein Sicherheitscache bereitgestellt.

  6. Falls im Sicherheitsprofil Autorisierung angegeben ist, ruft der Sicherheitsmanager den konfigurierten Sicherheitsprovider auf, damit dieser der (zugeordneten oder die Quelle bildenden) Identität die Berechtigung erteilt, auf diesen Nachrichtenfluss zuzugreifen. Bei einem Fehler wird eine Sicherheitsausnahme an den Knoten zurückgegeben.

    Bei den vom Nachrichtenbroker für die Autorisierung unterstützten Sicherheitsprovidern handelt es sich um LDAP, WS-Trust V1.3-konforme Security Token Server (wie z. B. TFIM V6.2) und TFIM V6.1.

    Für das Ergebnis der Genehmigung wird ein Sicherheitscache bereitgestellt.

  7. Nach Abschluss der gesamten Sicherheitsverarbeitung oder im Falle einer vom Sicherheitsmanager des Nachrichtenflusses ausgelösten Sicherheitsausnahme wird die Steuerung an den SecurityPEP-Knoten zurückgegeben.

    Wenn an den SecurityPEP-Knoten eine Sicherheitsausnahme zurückgegeben wird, so wird diese entweder an das Fehlerterminal weitergegeben, falls eine Verbindung besteht, oder als behebbare Ausnahme an den vorherigen Knoten zurückgegeben. Der SecurityPEP-Knoten nimmt nur dann eine Weitergabe an sein Ausgangsterminal vor, wenn alle konfigurierten Operationen im zugehörigen Sicherheitsprofil erfolgreich abgeschlossen werden.

  8. Die Nachricht wird einschließlich des belegten Ordners 'Eigenschaften' mit den Informationen zur Quellenidentität und zur zugeordneten Identität im Nachrichtenfluss weitergegeben.
  9. Bei der Entwicklung eines Nachrichtenflusses können die Identitätsfelder im Ordner 'Eigenschaften' für die Anwendungsverarbeitung (beispielsweise für Routing oder Inhaltserstellung auf Identitätsbasis) verwendet werden. Handelt es sich bei der weiterzugebenden Identität um eine abgehende Nachricht von einem Sende- oder Anforderungsknoten, der eine Weitergabe des Tokens nicht unterstützt, kann das Identitätstoken über einen Rechenknoten (einschließlich Compute-, JavaCompute-, PHPCompute- oder Mapping-Knoten) in die entsprechende Transportheader- oder Nachrichtenhauptteilposition verschoben werden.
  10. Wenn die Nachricht einen Sendeknoten erreicht, kann über ein dem Knoten zugeordnetes Sicherheitsprofil angezeigt werden, ob eine Identität dem Ordner 'Eigenschaften' entnommen und beim Senden der Nachricht weitergegeben werden soll. Standardtoken für den Transport können nur von speziellen Transportknoten weitergegeben werden. Alle anderen Tokentypen müssen wie oben beschrieben von einem Rechenknoten bearbeitet werden.
Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:23:18


KonzeptthemaKonzeptthema | Version 8.0.0.5 | bp28160_