In einem Sicherheitsprofil sind die Sicherheitsoperationen definiert, die in SecurityPEP-Knoten sowie in Empfangs- und Sendeknoten mit aktivierter Sicherheit in einem Nachrichtenfluss ausgeführt werden.
Sicherheitsprofile werden vom Brokeradministrator vor der Implementierung eines Nachrichtenflusses konfiguriert; während der Ausführungszeit greift der Sicherheitsmanager auf diese Profile zu.
Über ein Sicherheitsprofil kann der Brokeradministrator angeben, ob Identitäts- und Sicherheitstoken-Weitergabe, Authentifizierung, Autorisierung und Zuordnung für die Identität oder Sicherheitstokens von Nachrichten in einem Nachrichtenfluss durchgeführt werden, und wenn ja, welcher externe Sicherheitsprovider (auch 'Richtlinienentscheidungspunkt' (PDP) genannt) verwendet wird. IBM® Tivoli Federated Identity Manager (TFIM) V6.1 und auf WS-Trust V1.3 basierende Security Token Server (STS) (einschließlich TFIM V6.2) werden für die Authentifizierung, Autorisierung und Zuordnung unterstützt. Lightweight Directory Access Protocol (LDAP) wird zur Authentifizierung und Autorisierung unterstützt.
Die Sicherheitsprofile gelten für den SecurityPEP-Knoten und für sicherheitsfähige Empfangs-, Sende- und Anforderungsknoten und werden bei der Implementierung im Brokerarchiveditor vom Administrator konfiguriert. Für diese Knoten ist (im Brokerarchiveditor) die Eigenschaft Sicherheitsprofil vorhanden; sie kann leer bleiben, auf No Security (Keine Sicherheit) oder auf den Namen eines Sicherheitsprofils gesetzt werden. Wenn Sie No Security (Keine Sicherheit) festlegen, wird die Sicherheit für den Knoten explizit inaktiviert. Falls Sie die Eigenschaft Sicherheitsprofil leer lassen, übernimmt der Knoten die Eigenschaft Sicherheitsprofil, die auf Nachrichtenflussebene festgelegt wird. Falls Sie die Eigenschaft Sicherheitsprofil auf beiden Ebenen leer lassen, wird die Sicherheit für den Knoten inaktiviert. Wird diese Eigenschaft auf den Namen eines bestimmten Sicherheitsprofils gesetzt, bestimmt dieses Profil, welche Nachrichtenfluss-Sicherheit konfiguriert wird. Falls das genannte Sicherheitsprofil in der Laufzeit nicht existiert, kann der Nachrichtenfluss nicht implementiert werden. Wenn der angegebene externe Sicherheitsprovider nicht den Tokentyp unterstützt, der auf dem Knoten für die Sicherheitsoperation konfiguriert ist, wird ein Fehler gemeldet und eine Implementierung des Nachrichtenflusses ist nicht möglich.
Im Sicherheitsprofil wird außerdem angegeben, ob eine Weitergabe erforderlich ist. Für Sende- und Anforderungsknoten wird ein vorkonfiguriertes Profil, das die Weitergabe definiert, bereitgestellt. Dabei handelt es sich um das Sicherheitsprofil für die Standardweitergabe. Dieses Profil kann auch für einen Empfangsknoten genutzt werden, um Token zu extrahieren und diese in die Nachrichtenbaumstruktur zu stellen, die zur Weitergabe oder Verarbeitung in einem SecurityPEP-Knoten bereit ist.
Sicherheitsprofile enthalten Werte für folgende Eigenschaften:
Informationen zur Konfiguration eines Sicherheitsprofils für LDAP, TFIM oder einen auf WS-Trust V1.3 basierenden Security Token Server (STS) finden Sie im Abschnitt Sicherheitsprofil erstellen.