WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Autorisierung mit TFIM V6.1 konfigurieren

Sie können einen Nachrichtenfluss so konfigurieren, dass er die Autorisierung einer Identität mittels Tivoli Federated Identity Manager (TFIM) V6.1 ausführt.

Bevor Sie beginnen:

Gehen Sie vor der Konfiguration eines Nachrichtenflusses zur Ausführung der Autorisierung mithilfe von TFIM V6.1 folgendermaßen vor:
  • Überprüfen Sie, ob ein geeignetes Sicherheitsprofil existiert oder ein neues Sicherheitsprofil erstellt werden muss. Weitere Informationen hierzu finden Sie unter Sicherheitsprofil für TFIM V6.1 erstellen.
  • Definieren Sie die erforderlichen Benutzer und Gruppen in TFIM.
Anmerkung: Aus Gründen der Kompatibilität mit früheren Versionen von WebSphere Message Broker ist die Unterstützung für TFIM V6.1 enthalten. Falls möglich, führen Sie ein Upgrade auf TFIM V6.2 durch und befolgen Sie die Anweisungen unter Autorisierung mit einem WS-Trust v1.3 STS (TFIM V6.2) konfigurieren.
Der Brokersicherheitsmanager gibt eine Autorisierungsanforderung an den TFIM-Trust-Service mit den folgenden drei Parametern aus, durch die die TFIM-Modulkette ausgewählt wird, welche verwendet werden soll:
  • Issuer = Properties.IdentitySourceIssuedBy
  • AppliesTo = Der vollständig qualifizierte Name des Nachrichtenflusses: <Brokername>.<Ausführungsgruppenname>.<Nachrichtenflussname>
  • Token = Properties.IdentitySourceToken

Bei der Ausführung der Autorisierung verwendet TFIM eine Instanz des TFIM-Moduls 'AuthorizationSTSModule' in der ausgewählten Modulkette. Beim TFIM-Modul 'AuthorizationSTSModule' muss Mode = Other festgelegt sein. Durch das Modul 'AuthorizationSTSModule' erhält ein Benutzer die erforderliche Autorisierung, indem eine Zugriffssteuerungsliste (Access Control List, ACL) aus dem Tivoli Access Manager (TAM) überprüft wird. TFIM überprüft bei der Berechtigungsprüfung, ob die Aktion "i" (invoke) in einer Zugriffssteuerungsliste für die Aktionsgruppe WebService gewährt wird.

Die Zugriffssteuerungsliste startet im Stammverzeichnis des TAM-Objektbereichs und verwendet einen Pfad, der vom Parameter Geschützter Objektname des Web-Service des Autorisierungsmoduls gebildet wird, gefolgt vom Porttyp und dem Operationsnamen der Autorisierungsanforderung. Wenn der Broker eine Autorisierungsanforderung an TFIM ausgibt, erhalten die Parameter Porttyp und Operationsname die folgenden Werte:

Deshalb befindet sich die Zugriffssteuerungsliste im TAM-Objektbereich an dieser Position:

/<Geschützter_WS-Objektname>.<Nachrichtenflussname>."MessageFlowAccess"

Weitere Informationen zu diesem Prozess und den Parametern finden Sie unter Authentifizierung, Zuordnung und Autorisierung mit TFIM V6.1 und TAM.

Schritte zur Aktivierung der TFIM-Autorisierung:

Zur Aktivierung eines vorhandenen Nachrichtenflusses für die Ausführung der Autorisierung mit TFIM können Sie den Brokerarchiveditor verwenden, um ein Sicherheitsprofil auszuwählen, bei dem die Autorisierung aktiviert ist. Sie können ein Sicherheitsprofil für einen Nachrichtenfluss oder individuelle Empfangsknoten festlegen. Wenn für die Empfangsknoten kein Sicherheitsprofil festgelegt wird, wird die Einstellung aus der Einstellung des Nachrichtenflusses übernommen.
  1. Wechseln Sie zur Ansicht Ansicht 'Brokeranwendungsentwicklung'.
  2. Klicken Sie in der Ansicht Brokerentwicklung mit der rechten Maustaste auf die Brokerarchivdatei und wählen Sie dann Öffnen mit > Brokerarchiveditor aus.
  3. Klicken Sie auf die Registerkarte Manage and Configure (Verwalten und konfigurieren).
  4. Klicken Sie auf den Fluss oder Knoten, in dem Sie das Sicherheitsprofil festlegen möchten. Die Eigenschaften, die Sie für den Nachrichtenfluss oder für den Knoten konfigurieren können, werden in der Ansicht Eigenschaften angezeigt.
  5. Wählen Sie im Feld Name des Sicherheitsprofils ein Sicherheitsprofil aus, bei dem die Autorisierung aktiviert ist.
  6. Speichern Sie die BAR-Datei.

Damit ein SOAPInput-Knoten die Identität im WS-Sicherheitsheader verwenden kann (anstelle einer unterliegenden Transportidentität), müssen zusätzlich Richtliniensätze und Bindungen definiert und angegeben werden. Der Abschnitt Richtliniensätze enthält weitere Informationen hierzu.

Zusätzlich zur Konfiguration von WebSphere Message Broker für die Ausführung der Autorisierung mit TFIM müssen Sie TFIM und TAM konfigurieren. Weitere Informationen dazu finden Sie in den folgenden Abschnitten:

Weitere Informationen zum Konfigurieren von TFIM finden Sie im Abschnitt IBM® Tivoli Federated Identity Manager Information Center.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:21:54


TaskthemaTaskthema | Version 8.0.0.5 | ap04152_