WebSphere Message
Broker stellt einen Sicherheitsmanager für die Implementierung der Nachrichtenflusssicherheit zur Verfügung. Dieser gewährleistet auf Grundlage einer Identität, die mit der Nachrichteninstanz weitergeleitet wird, die Sicherheit einer Nachricht während ihrer Verarbeitung vom Anfang bis zum Ende eines Nachrichtenflusses.
Informationen zu den unterstützten externen Sicherheitsprovidern und der Funktionsweise des Sicherheitsmanagers des Nachrichtenflusses finden Sie im Abschnitt Übersicht über Nachrichtenflusssicherheit. Informationen zu den Tokentypen, die von SOAP-Knoten und externen Sicherheitsprovidern unterstützt werden, finden Sie unter Identität.
Wenn es sich bei einem Nachrichtenfluss um einen Web-Service handelt, der mithilfe von SOAP-Knoten implementiert wurde, und die Identität aus den WS-Security-SOAP-Headern entnommen werden soll, dann sind die SOAP-Knoten der Policy Enforcement Point (PEP, Richtliniendurchsetzungspunkt) und der externe, in den Sicherheitsprofilen definierte Provider ist der Policy Decision Point (PDP, Richtlinienentscheidungspunkt).
Zur Implementierung der Nachrichtenflusssicherheit auf Basis der in
WS_Security-Tokens weitergeleiteten Identität ist folgende Konfiguration erforderlich.
- Richtliniensätze definieren den Typ der für die Identität verwendeten Tokens.
- Zur Bearbeitung der Benutzernamen- und Kennwortidentität müssen Sie die Richtlinie und die Bindung für das Benutzernamens-Token Authentifizierung konfigurieren.
- Zur Bearbeitung der X.509-Zertifikat-Identität müssen Sie die Richtlinie und die Bindung für das X.509-Zertifikat-Token Authentifizierung konfigurieren.
- Setzen Sie den Zertifikatmodus des X.509-Zertifikatauthentifizierungs-Token in der Richtliniensatzbindung auf Trust Any (Allen vertrauen). Bei dieser Einstellung (nicht bei Gesicherter Speicher) wird das Zertifikat an den im Sicherheitsprofil festgelegten Sicherheitsprovider geleitet. Würden Sie Gesicherter Speicher auswählen, würde das Zertifikat im Sicherheitsspeicher des lokalen Brokers validiert werden. Nähere Informationen finden Sie unter Editor für Richtliniensätze und Richtliniensatzbindungen: Authentifizierungs- und Schutztoken.
- Zur Bearbeitung eines SAML-Zusicherungstokens müssen Sie die Richtlinie und Bindung für das SAML-Token Authentifizierung konfigurieren.
- Die Sicherheitsoperation des Nachrichtenflusses sowie der externe Sicherheitsprovider werden in den Sicherheitsprofilen definiert.
Alternativ zur Nachrichtenflusssicherheit und einem externen PDP kann der Truststore des Brokers als lokaler PDP für die X.509- Zertifikatauthentifizierung verwendet werden. Sie müssen den Broker-Truststore konfigurieren, um die WS-Security ausschließlich über den lokalen Broker signieren und verschlüsseln zu lassen. Einzelheiten hierzu finden Sie unter Laufzeiteigenschaften des Schlüsselspeichers und Zertifikatsspeichers auf Brokerebene anzeigen und festlegen und Laufzeiteigenschaften des Schlüsselspeichers und des Zertifikatsspeicher auf Ausführungsgruppenebene anzeigen und festlegen.
Die SOAP-Knoten unterstützen die WS-Security auf Kerberos-Basis.
Wenn Sie Kerberos für die Sicherheit einsetzen, stellt die WS-Security-Verarbeitung des SOAP-Knotens eine direkte Verbindung zur Kerberos-Infrastruktur des Hosts her.
Der Broker-Host muss für Kerberos konfiguriert sein und die Datei krb.conf zur Definition des Kerberos Key Distribution Center (KDC) und das Standardbereichs bereitstellen. Darüber hinaus muss eine Kerberos-keytab-Datei (Chiffrierschlüsseldatei) konfiguriert werden. Weitere Informationen zur Konfiguration von Kerberos finden Sie in der Host-Dokumentation zu Kerberos.
Zur Verwendung der Kerberos-WS-Security in SOAP-Knoten müssen Sie in der Anzeige für den Nachrichtenstufenschutz einen Richtliniensatz und Bindungen erstellen und Kerberos-Tokens zur symmetrischen Verschlüsselung angeben; vergleichen Sie hierzu
Editor für Richtliniensätze und Richtliniensatzbindungen: Nachrichtenstufenschutz. Konfigurieren Sie auch die erforderlichen Einstellungen in der Anzeige zu den Kerberos-Einstellungen, wie in
Editor für Richtliniensätze und Richtliniensatzbindungen: Anzeige für Kerberos-Einstellungen beschrieben, und ordnen Sie diesen Richtliniensatz und die Bindungen anschließend dem SOAP-Knoten zu. Sie können SOAP-Knoten auch einem Sicherheitsprofil zuordnen, das nur die Weitergabe festlegt, damit Kerberos für folgende Aufgaben verwendet werden kann:
- Service-Teilnehmer als Benutzernamens-Token aus den SOAP-Eingabeknoten extrahieren
- Kerberos KDC-Identifikationsdaten (KDC = Key Distribution Center) als Benutzernamen und Kennwort an SOAP-Anforderungsknoten weitergeben.