WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Extraktion eines Identitäts- oder Sicherheitstokens konfigurieren

Sie können die Identität oder das Sicherheitstoken mithilfe des entsprechend konfigurierten SecurityPEP-Knotens oder mithilfe von Empfangsknoten mit aktivierter Sicherheit aus einer Nachricht abrufen und in den Identitätsfeldern der Eigenschaftenbaumstruktur speichern, sodass die Identität oder das Sicherheitstoken im Nachrichtenfluss verarbeitet und in Sende- oder Anforderungsknoten weitergeleitet werden kann.

Bevor Sie beginnen:

Überprüfen Sie, ob ein geeignetes Sicherheitsprofil vorhanden ist, oder erstellen Sie ein neues Profil. Weitere Informationen finden Sie im Abschnitt Sicherheitsprofil erstellen.

Wird ein Empfangsknoten oder ein SecurityPEP-Knoten einem Profil zugeordnet, in dem eine Sicherheitsoperation (Authentifizierung, Zuordnung oder Autorisierung) angegeben oder die Weiterleitung als aktiviert verzeichnet ist, kann der Knoten ein Identitäts- oder Sicherheitstoken aus dem Nachrichtenbitstrom abrufen.
  • Ein MQInput-Knoten, für den die Sicherheitseigenschaft Identitätstokentyp auf Transportstandardwert gesetzt ist, ruft das Element 'UserIdentifier' aus dem Nachrichtendeskriptor (MQMD) ab und fügt es in das Element 'Identity Source Token' des Ordners 'Eigenschaften' ein. Gleichzeitig setzt er das Element 'Identity Source Type' auf Benutzername und das Element 'Identity Source Issued By' auf MQMD.Put-Anwendungsname.
  • Ein HTTPInput-Knoten, für den die Sicherheitseigenschaft Identitätstokentyp auf Transportstandardwert gesetzt ist, ruft den BasicAuth-Header aus der HTTP-Anforderung ab, decodiert ihn und fügt ihn in die Elemente 'Identity Source Token' und 'Password' des Ordners 'Eigenschaften' ein. Gleichzeitig setzt der Knoten das Element 'Identity Source Type' auf Benutzername + Kennwort und das Element 'Identity Source Issued By element' auf die HTTP-Headereigenschaft UserAgent.
  • Ein SOAPInput-Knoten ruft die entsprechenden, in den konfigurierten WS-Security-Richtliniensätzen und -Richtlinienbindungen definierten Token ab; falls die Token nicht definiert sind, ermittelt er den Tokentyp anhand der Transportbindung (beispielsweise 'BasicAuth' bei HTTP-Transport). Der SOAPInput-Knoten füllt die Quellenfelder der Identität im Ordner Eigenschaften mit diesen abgerufenen Token. Bei einem Kerberos-Richtliniensatz und Kerberos-Richtlinienbindungen handelt es sich bei dem Tokentyp um einen Benutzernamen, der den SPN (Service Principal Name) aus dem Kerberos-Ticket enthält.
  • Ein SecurityPEP-Knoten, für den die Eigenschaft Identitätstokentyp auf Current token (Aktuelles Token) gesetzt ist, kann das Token verwenden, das von einem vorgeschalteten Empfangsknoten oder SecurityPEP-Knoten abgerufen und im Ordner 'Eigenschaften' gespeichert wurde.

In einigen Fällen werden die aus den Transportheadern extrahierten Informationen nicht festgelegt, oder sie reichen reichen nicht für eine Authentifizierung oder Autorisierung aus. Für die Authentifizierung ist beispielsweise das Token 'Benutzername + Kennwort' erforderlich; bei WebSphere MQ ist allerdings nur ein Benutzername verfügbar, sodass die eingehende Identität als vertrauenswürdig eingestuft sein muss. Sie können die Sicherheit jedoch erhöhen, indem Sie mithilfe von WebSphere MQ Extended Security Edition eine Sicherheit auf Transportprotokollebene anwenden.

Wenn der Transportheader die erforderlichen Identitätsberechtigungsnachweise nicht bereitstellen kann, müssen die Informationen als Teil des Hauptteils der ankommenden Nachricht bereitgestellt werden. Damit die Identitätsinformationen aus dem Hauptteil der Nachricht entnommen werden können, müssen Sie angeben, wo sich diese Informationen befinden, und zwar über die Registerkarte Sicherheit der HTTPInput-, MQInput- und SCAInput-Knoten, über die Registerkarte Grundeinstellung des SecurityPEP-Knotens oder indem Sie im SOAP-Knoten das WS-Security-Profil mit den erforderlichen Richtliniensätzen und Richtlinienbindungen konfigurieren. Ein SOAP-Knoten mit einem Kerberos-Richtliniensatz und Kerberos-Richtlinienbindungen extrahiert ein Benutzernamenstoken, das im SPN (Service Principal Name) des Kerberos-Tickets enthalten ist.

  1. Geben Sie als Identitätstokentyp den Typ des Identitätstokens an, das in der Nachricht enthalten ist. Als Typ kann einer der folgenden Werte angegeben werden:
    • Transportstandardwert(bei Empfangsknoten mit aktivierter Sicherheit)
    • Aktueller Token (beim SecurityPEP-Knoten)
    • Benutzername
    • Benutzername und Kennwort
    • X.509-Zertifikat
    • SAML-Zusicherung
    • Kerberos GSS v5 AP_REQ (im SecurityPEP-Knoten)
    • LTPA v2 token (LTPA-V2-Token) (im SecurityPEP-Knoten)
    • Universal WSSE token (Universal WSSE-Token) (im SecurityPEP-Knoten)
    Auf den Empfangsknoten mit aktivierter Sicherheit lautet der Standardwert Transportstandardwert. Auf dem SecurityPEP-Knoten lautet der Standardwert Aktueller Token, es wird also der in der zugeordneten Identität bzw. im Quellenfeld im Ordner 'Eigenschaften' angegebene Tokentyp verwendet.
  2. Geben Sie als Position des Identitätstokens die Position in der Nachricht an, an der die Identität angegeben ist. Diese Zeichenfolge wird in Form einer ESQL-Feldreferenz, eines XPath-Ausdrucks oder eines Zeichenfolgeliterals eingegeben und muss ein Token des Typs Benutzername, Benutzername + Kennwort, SAML-Zusicherung, Kerberos GSS v5 AP_REQ, LTPA v2 token (LTPA-V2-Token) oder X.509-Zertifikat ergeben. Ein Zeichenfolgeliteral muss in einfachen Anführungszeichen stehen und darf keinen Punkt (.) enthalten..
  3. Geben Sie als Position des Identitätskennworts die Position des Kennworts innerhalb der Nachricht an. Diese Zeichenfolge wird im Format einer ESQL-Feldreferenz, eines XPath-Ausdrucks oder eines Zeichenfolgeliterals angegeben und muss in eine Zeichenfolge mit einem Kennwort aufgelöst werden. Zeichenfolgeliterale müssen in einfache Anführungszeichen gesetzt werden und dürfen keinen Punkt (.) enthalten. Diese Option kann nur gesetzt werden, wenn die Option Identitätstokentyp auf Benutzername + Kennwort gesetzt ist.
  4. Geben Sie in Identität - IssuedBy-Position eine Zeichenfolge oder einen Pfadausdruck an, um zu zeigen, wo (in der Nachricht) Informationen über den Aussteller der Identität enthalten sind. Diese Zeichenfolge wird im Format einer ESQL-Feldreferenz, eines XPath-Ausdrucks oder eines Zeichenfolgeliterals mit Informationen zur Herkunft der Identität angegeben. Zeichenfolgeliterale müssen in einfache Anführungszeichen gesetzt werden und dürfen keinen Punkt (.) enthalten.

    Wenn Sie auf Empfangsknoten mit aktivierter Sicherheit für diese Eigenschaft keinen Wert angeben, wird der Transportheaderwert verwendet (sofern vorhanden). Bei MQ wird beispielsweise der Wert 'MQMD.PutApplName' verwendet. Wenn Sie auf einem SecurityPEP-Knoten für diese Eigenschaft keinen Wert angeben, wird die WS-Trust-Anforderung ohne das optionale Ausstellerelement (Issuer) in der WS-Trust-Nachricht an den STS gesendet.

  5. (Optional) Stellen Sie sicher, dass alle Empfangsknoten dieselben Informationen verwenden, indem Sie die Eigenschaften an den Nachrichtenfluss übergeben.
Um die Extraktion einer Identität in einem Empfangsknoten mit aktivierter Sicherheit bzw. einem SecurityPEP-Knoten zu ermöglichen, wählen Sie ein Sicherheitsprofil mit mindestens einer konfigurierten Sicherheitsoperation (Authentifizierung, Abgleich oder Autorisierung) bzw. einer aktivierten Weitergabe aus:
  1. Klicken Sie im WebSphere Message Broker Toolkit mit der rechten Maustaste auf die Brokerarchivdatei und wählen Sie dann Öffnen mit > Brokerarchiveditor aus.
  2. Klicken Sie auf die Registerkarte Manage and Configure (Verwalten und konfigurieren).
  3. Klicken Sie auf den Fluss oder Knoten, in dem Sie das Sicherheitsprofil festlegen möchten. Die Eigenschaften, die Sie für den Nachrichtenfluss oder für den Knoten konfigurieren können, werden in der Ansicht Eigenschaften angezeigt.
  4. Wählen Sie im Feld Name des Sicherheitsprofils ein Sicherheitsprofil aus.
  5. Speichern Sie die BAR-Datei.
Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:21:54


TaskthemaTaskthema | Version 8.0.0.5 | ap04110_