Damit ein Nachrichtenfluss eine Identitätsweitergabe durchführen kann, müssen die Empfangsknoten die Identität extrahieren und der Sendeknoten muss diese weitergeben.
Bevor Sie beginnen:Bevor Sie einen Nachrichtenfluss so konfigurieren, dass eine Identitätsweitergabe durchgeführt wird, müssen Sie überprüfen, ob ein geeignetes Sicherheitsprofil existiert, oder ein neues Sicherheitsprofil erstellen. Weitere Informationen finden Sie im Abschnitt Sicherheitsprofil erstellen.
Ein Empfangsknoten extrahiert die Sicherheitstoken, wenn er bei der Implementierung mit einem Sicherheitsprofil konfiguriert ist. Ein Sendeknoten gibt eine Identität weiter, wenn er mit einem Sicherheitsprofil konfiguriert ist, das die Weitergabe bei der Implementierung aktiviert. Führen Sie zur Konfiguration eines Nachrichtenflusses für die Identitätsweitergabe die folgenden Schritte aus.
Wählen Sie im Brokerarchiveditor ein Sicherheitsprofil aus, in dem die Identitätsweitergabe aktiviert ist. Sie können das Profil 'Standardweitergabe' verwenden, ein vordefiniertes Profil, das nur eine Weitergabe von Identitäten erfordert. Sie können ein Sicherheitsprofil für einen Nachrichtenfluss oder individuelle Empfangs- und Sendeknoten festlegen. Wenn für die Empfangs- und Sendeknoten kein Sicherheitsprofil festgelegt wird, wird die Einstellung aus der Einstellung des Nachrichtenflusses übernommen.
- Klicken Sie im Ansicht Brokerentwicklung mit der rechten Maustaste auf die
Brokerarchivdatei und wählen Sie dann aus.
- Klicken Sie auf die Registerkarte Manage and Configure (Verwalten und konfigurieren).
- Klicken Sie auf den Fluss oder Knoten, in dem Sie das Sicherheitsprofil festlegen möchten. Die Eigenschaften, die Sie für den Nachrichtenfluss oder für den Knoten
konfigurieren können, werden in der Ansicht Eigenschaften angezeigt.
- Wählen Sie im Feld Name des Sicherheitsprofils ein Sicherheitsprofil aus, bei dem die Identitätsweitergabe aktiviert ist.
- Speichern Sie die BAR-Datei.
Bei SOAPRequest- oder SOAPAsyncRequest-Knoten können Sie mit einem entsprechenden Richtliniensatz und Bindungen angeben, wie die weitergegebene Identität in den WS-Security-Header anstatt in die Transportheader eingefügt wird. Der Abschnitt Richtliniensätze enthält weitere
Informationen hierzu.
Über SOAPRequest- und SOAPAsyncRequest-Knoten können nur Benutzernamenstoken und SAML-Token weitergeleitet werden. Dagegen kann bei SOAPRequest- und SOAPAsyncRequest-Knoten mit einem Kerberos-Richtliniensatz und Kerberos-Richtlinienbindungen ein Token des Typs "Benutzername + Kennwort" an den Knoten weitergeleitet werden, um die Kerberos-Clientberechtigungsnachweise bereitzustellen.
Über SAPRequest-Knoten können nur Benutzernamen und Kennwörter weitergeleitet werden. Über CICSRequest- und IMSRequest-Knoten können Benutzernamen oder Benutzernamen und Kennwörter weitergeleitet werden.
Wenn die Nachrichtenidentität nicht genügend Informationen für eine Identitätsweitergabe enthält, können Sie sich die benötigten Informationen mit einer der folgenden Methoden beschaffen:
- Entnehmen Sie die Informationen dem Nachrichtenhauptteil. Wenn die Nachricht von WebSphere MQ beispielsweise nur einen Benutzernamenstoken enthält und die Ausgabe ein HTTP-Anforderungsknoten ist, der ein 'Username + Password'-Token verlangt, ist das Kennwort möglicherweise im Hauptteil der ankommenden Nachricht enthalten. Weitere Informationen finden Sie im Abschnitt
Extraktion eines Identitäts- oder Sicherheitstokens konfigurieren.
- Konfigurieren Sie eine Identitätszuordnungsfunktion unter Verwendung von TFIM. Weitere Informationen finden Sie unter IBM® Tivoli Federated
Identity Manager Information Center.
- Legen Sie die Felder mit der zugeordneten Identität in der Eigenschaftenbaumstruktur mithilfe von ESQL oder Java™ fest.