WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Sicherheitsprofil für WS-Trust V1.3 (TFIM V6.2) erstellen

Für einen WS-Trust V1.3-konformen Security Token Server (STS) wie z. B. Tivoli Federated Identity Manager (TFIM) V6.2 können Sie ein Sicherheitsprofil für eine beliebige Kombination der folgenden Sicherheitsoperationen erstellen: Authentifizierung, Autorisierung und Zuordnung.

Sie können zum Erstellen des Sicherheitsprofils entweder den Befehl mqsicreateconfigurableservice oder einen Editor im WebSphere Message Broker Explorer verwenden:

Sicherheitsprofil mit 'mqsicreateconfigurableservice' erstellen

Sie können ein Sicherheitsprofil, das einen WS-Trust V1.3-konformen Security Token Server (STS) verwendet, mit dem Befehl mqsicreateconfigurableservice erstellen, indem Sie den Konfigurationsparameter auf die vollständige URL des STS setzen. Die URL muss aus dem Transportschema, Hostnamen, Port und Pfad bestehen. Für den WS-Trust V1.3-Endpunkt TFIM V6.2 lautet der Pfad /TrustServerWST13/services/RequestSecurityToken. Beispiel:
http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
Geben Sie folgenden Befehl ein, um ein Sicherheitsprofil zu erstellen, das WS-Trust v1.3 für die Zuordnung verwendet:
mqsicreateconfigurableservice Brokername -c SecurityProfiles 
-o Profilname -n mapping,mappingConfig 
-v "WS-Trust v1.3 STS",http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
Wenn die URL eine Adresse angibt, die mit https:// beginnt, wird für Anfragen an den WS-Trust v1.3-Server eine durch SSL gesicherte Verbindung verwendet. Geben Sie beispielsweise folgenden Befehl ein, um ein Sicherheitsprofil zu erstellen, das eine HTTPS-Verbindung mit WS-Trust v1.3 für die Zuordnung verwendet:
mqsicreateconfigurableservice Brokername -c SecurityProfiles 
-o Profilname -n mapping,mappingConfig 
-v "WS-Trust v1.3 STS",https://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
Zusätzlich zur Angabe der URL des Sicherheitsprofils in Form einer mit https:// beginnenden Adresse können Sie durch die Definition von Brokerumgebungsvariablen die folgenden erweiterten Parameter konfigurieren:
MQSI_STS_SSL_PROTOCOL
Die Version des zu verwendenden SSL-Protokolls. Folgendes sind gültige Werte:
  • SSL
  • SSLv3
  • TLS
Der Anfangswert lautet SSLv3.
MQSI_STS_SSL_ALLOWED_CIPHERS
Eine durch Leerzeichen getrennte Liste der Verschlüsselungswerte, die verwendet werden können. Eine Liste aller von WebSphere Message Broker unterstützten Cipher-Suites finden Sie in der Java™-Produktinformation für Ihr Betriebssystem. Für Betriebssysteme, die IBM® Java verwenden, beachten Sie Anhang A des IBM JSSE2 Guide: http://www.ibm.com/developerworks/java/jdk/security/60/secguides/jsse2Docs/JSSE2RefGuide.html
MQSI_STS_REQUEST_TIMEOUT
Das Zeitlimit für die STS-Anforderung in Sekunden. Der Anfangswert lautet 100. Informationen zur Angabe von Umgebungsvariablen für den Broker finden Sie im Abschnitt Befehlsumgebung einrichten.

Wenn WS-Trust v1.3 STS für mehr als eine Operation ausgewählt wird (z. B. für die Authentifizierung und die Zuordnung), muss die URL des WS-Trust v1.3-Servers für alle Operationen identisch sein. Daher erfolgt die Angabe nur einmal.

Im folgenden Beispiel wird ein Sicherheitsprofil erstellt, das TFIM V6.2 für die Authentifizierung, Zuordnung und Autorisierung verwendet:
mqsicreateconfigurableservice MYBROKER -c SecurityProfiles -o MyWSTrustProfile 
-n authentication,mapping,authorization,propagation,mappingConfig 
-v "WS-Trust v1.3 STS","WS-Trust v1.3 STS","WS-Trust v1.3 STS",TRUE,http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken

Profil mit dem WebSphere Message Broker Explorer erstellen

Sie können mit dem WebSphere Message Broker Explorer ein Sicherheitsprofil für die Verwendung von WS-Trust v1.3 erstellen.
  1. Klicken Sie in WebSphere Message Broker Explorer mit der rechten Maustaste auf den Broker, mit dem Sie arbeiten möchten, und klicken Sie dann auf Eigenschaften.
  2. Wählen Sie im Fenster Eigenschaften die Registerkarte 'Sicherheit' aus und klicken Sie auf Sicherheitsprofile. Das Fenster 'Sicherheitsprofile' wird geöffnet. Es enthält auf der linken Seite eine Liste der bestehenden Sicherheitsprofile für den Broker und auf der rechten Seite ein Teilfenster, in dem Sie das Profil konfigurieren können.
  3. Klicken Sie auf Hinzufügen, um ein neues Profil zu erstellen und zur Liste hinzuzufügen. Sie können den Namen des Sicherheitsprofils bearbeiten, indem Sie ihn in der Liste hervorheben und die Taste F2 drücken. Der Name des Sicherheitsprofils darf keine Leerzeichen enthalten.
  4. Konfigurieren Sie das Sicherheitsprofil, indem Sie die Eingabefelder im rechten Teilfenster ausfüllen:
    1. Wählen Sie den Sicherheitsprovider aus, den Sie für die Authentifizierung, Zuordnung und Autorisierung benötigen. Wenn Sie für eine dieser Optionen WS-Trust v1.3 STS auswählen, ist das Feld STS URI in der Gruppe Security Token Service (STS) Parameters aktiviert.
    2. Geben Sie die URL des WS-Trust v1.3 STS im Feld STS URL ein. Die STS-URL muss folgende URL-Teile enthalten:
      • Transportschema (http oder https)
      • Hostname (vollständig qualifizierter Domänenname)
      • Port
      • Pfad (Beispiel für TFIM V6.2: /TrustServerWST13/services/RequestSecurityToken)
      Beispiel:
      http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
      Aus der eingegebenen URL wird eine Konfigurationszeichenfolge gebildet, die abhängig von den Sicherheitsoperationen, die für die Verwendung von WS-Trust v1.3 STS konfiguriert sind, in einem oder mehreren der Konfigurationsfelder (Authentifizierungskonfiguration, Zuordnungskonfiguration und Autorisierungskonfiguration) angezeigt wird.

      Weitere Informationen zu den gültigen Werten für den Konfigurationsparameter finden Sie im Abschnitt Sicherheitsprofil mit 'mqsicreateconfigurableservice' erstellen.

    3. Geben Sie im Feld Weitergabe an, ob die Identität weitergegeben werden soll. Der Standardwert ist False (keine Weitergabe).
    4. Wählen Sie im Feld Kennwortwert die Weise aus, in der das Kennwort im Eigenschaftsordner angezeigt wird. Die Eingabe des Kennworts ist optional und nur erforderlich, wenn es sich um den Tokentyp Benutzername + Kennwort handelt. Folgende Optionen stehen zur Verfügung:
      PLAIN
      Das Kennwort wird im Eigenschaftsordner als unverschlüsselter Text angezeigt.
      OBFUSCATE
      Das Kennwort wird im Eigenschaftsordner in Base64-Codierung angezeigt.
      MASK
      Das Kennwort wird im Eigenschaftsordner in Form von 4 Sternen (****) angezeigt.
  5. Klicken Sie auf Fertigstellen, um das Sicherheitsprofil im Broker zu implementieren.
Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:23:17


TaskthemaTaskthema | Version 8.0.0.5 | bp28010_