Sie können WebSphere Message
Broker,
Tivoli Federated
Identity Manager (TFIM) V6.2 und
Tivoli Access
Manager (TAM) zur Steuerung von Authentifizierung, Zuordnung und Autorisierung verwenden.
WebSphere Message
Broker gibt einen einzigen TFIM
WS-Trust-Aufruf für einen Empfangsknoten oder SecurityPEP-Knoten aus, der mit einem
WS-Trust V1.3-STS-Sicherheitsprofil konfiguriert ist. Dies bedeutet, dass die Einzelmodulkette so konfiguriert
werden muss, dass alle erforderlichen Operationen der Authentifizierung, Zuordnung und
Autorisierung ausgeführt werden.
Wenn Sie einen WS-Trust v1.3 STS zur Authentifizierung, Autorisierung oder Zuordnung verwenden,
wird eine Anforderung mit folgenden Parametern zur Steuerung der STS-Verarbeitung an den
Trust-Service gestellt. Bei Verwendung von TFIM V6.2 werden folgende Parameter in der Auswahl der
TFIM-Modulkette verwendet:
Parameter |
Wert |
RequestType |
Die Art der an den Trustservice ausgegebenen Anforderung.
Gültige Werte sind:- Issue
- Dieser Wert kann angegeben werden, wenn im Sicherheitsprofil nur für den Abgleich WS-Trust V1.3 STS definiert ist. Der Wert ist nicht gültig, falls WS-Trust V1.3 STS für die Authentifizierung oder Autorisierung angegeben ist.
Der qualifizierte Wert für den Namensbereich lautet http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue und wird in
TFIM V6.2 als Issue Oasis URI (OASIS-URI ausstellen) angezeigt.
- Validate
- Dieser Wert muss definiert werden, wenn im Sicherheitsprofil für einen WS-Trust V1.3 STS-Provider (zusätzlich zum Abgleich) auch die Authentifizierung und Autorisierung angegeben ist.
Der qualifizierte Wert für den Namensbereich lautet http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate und wird in
TFIM V6.2 als Validate Oasis URI (OASIS-URI auswerten) angezeigt.
|
Issuer |
Dieser Wert wird durch die effektive Einstellung der Eigenschaft IssuedBy auf der Registerkarte Grundeinstellung des SecurityPEP-Knotens bzw. auf der Registerkarte Sicherheit des Empfangsknotens bestimmt. |
AppliesTo |
Dieser Wert wird durch den Knotentyp bestimmt:- MQInput- oder SCAInput-Knoten mit MQ-Bindung:
- WebSphere MQ-IRI der Eingabewarteschlange des Knotens, z. B.:
wmq://msg/queue/Name_der_Warteschlange@Name_des_WS-Managers
- HTTPInput-, SOAPInput- oder SOAPAsyncResponse-Knoten mit HTTP-Bindung:
- Endpunkt-URL, z. B.
http://myflow/myInputNodePath
- SecurityPEP-Knoten mit einer (leeren) WS-Trust-AppliesTo-Adresse:
- URN für den Nachrichtenfluss, der den Knoten enthält, z. B.
urn:/Brokername.Ausführungsgruppenname.Flussname
- SecurityPEP-Knoten, wobei die WS-Trust-AppliesTo-Adresse auf der Registerkarte 'Erweitert' des
Knotens angegeben ist:
- URI-Wert, der in der Eigenschaft konfiguriert ist. Dies ist in der Regel die URL des
Zielservice, der verwendet wird, wenn Sie eine Abgleichoperation aufrufen, um das erforderliche
Token für den folgenden Anforderungsknoten abzurufen, z. B.
http://remotehost.ibm.com:9080/targetservice
Sie können auch die Eigenschaften AppliesTo-Servicename
und AppliesTo-Porttyp auf der Registerkarte
Erweitert des Knotens festlegen. Diese optionalen Elemente sind in der WS-Trust-Anforderung nur enthalten, wenn sie konfiguriert sind. Bei diesen Werten handelt es sich
üblicherweise um gültige Warteschlangennamen, z. B. http://myservice.mycom.com:myservicename
Wenn Sie diese Eigenschaften im
SecurityPEP-Knoten definieren, müssen Sie sie in der TFIM-Modulkette konfigurieren:
|
In diesem Abschnitt wird eine Autorisierungskonfiguration
beschrieben, mit der der Autorisierungsvorgang über TFIM V6.2 und TAM durchgeführt werden kann.
Legen Sie im Sicherheitsprofil den TFIM V6.2-Endpunkt für den Autorisierungsvorgang fest. Wenn Sie eine Modulkette erstellen, die von einem sicherheitsaktivierten Empfangsknoten oder
SecurityPEP-Koten verwendet und von der
AppliesTo-Information aufgelöst werden soll, müssen Sie den TFIM-Parameter
TAMAuthorizationSTSModule zum Aufrufen der TAM-Autorisierung einschließen.
Für den Parameter
TAMAuthorizationSTSModule sind die folgenden universellen TFIM-STS-Benutzerkontextattribute
erforderlich:
- PrincipalName
- Der zu autorisierende Benutzername. Dieser Benutzername muss im TAM-Benutzerrepository
enthalten sein.
- ObjectName
- Der TAM-Objektname der Ressource, für die eine Berechtigungsprüfung durchgeführt wird. Normalerweise leitet sich dieser Wert aus den AppliesTo-Informationen ab, die vom Sicherheitsmanager des Nachrichtenflusses aus dem Empfangsknoten mit aktivierter Sicherheit bzw. aus dem SecurityPEP-Knoten übergeben wurden.
- Action
- Die zu autorisierende TAM-Aktion, z. B. x
(eXecute).
Die TAM-Zugriffssteuerungsliste, die zur
Berechtigungsentscheidung herangezogen wird, befindet sich im TAM-Bereich für geschützte Objekte
mit dem Pfad, der für das Attribut ObjectName in der Eingabe des universellen
TFIM-STS-Benutzerkontextes für das Modul TAMAuthorizationSTSModule angegeben wird.
Das folgende Diagramm zeigt die Konfiguration von WebSphere Message
Broker,
TFIM V6.2 und TAM zur Aktivierung von Authentifizierung, Zuordnung und Autorisierung einer
Identität in einem
Nachrichtenfluss:

Die Zahlen im Diagramm oben entsprechen dem folgenden Ablauf:
- Eine Nachricht tritt in einen Nachrichtenfluss ein.
- Vom Broker wird eine WS-Trust-Anforderung ausgegeben, dabei sind die Eigenschaften RequestType, Issuer
und AppliesTo definiert.
- TFIM wählt anhand der Eigenschaften RequestType, Issuer
und AppliesTo der Anforderung eine Modulkette zur Verarbeitung der WS-Trust-Anforderung aus.
- Eine Modulkette kann eine Authentifizierung vornehmen, wenn sie über ein Modul im Modus Auswerten verfügt, welches für den Tokentyp, der in der Anforderung aus der Eingabenachricht des Nachrichtenflusses übergeben wird, geeignet ist. So kann beispielsweise ein Token 'Benutzername und Kennwort' unter Verwendung eines Moduls 'UsernameTokenSTSModule' authentifiziert werden.
- Die Modulkette muss unter Verwendung eines Moduls 'XSLTransformationModule' im Abgleichsmodus einige Abgleichsoperationen durchführen, um die Identitätsinformationen zu bearbeiten und die erforderlichen Kontextattribute im TFIM-Objekt 'stsuser' für die Verwendung durch nachfolgende Module bereitzustellen.
- Eine Modulkette kann die Autorisierung in TAM mithilfe des Moduls 'TAMAuthorizationSTSModule' vornehmen.
- Das Modul 'TAMAuthorizationSTSModule' führt die Berechtigungsprüfung durch, indem es eine Anforderung an TAM mit folgenden Eigenschaften ausgibt:
- Action = a (a bezeichnet dabei das Kontextaktionsattribut
'stsuser'). So könnte beispielsweise mit dem folgenden Code x für
eXecute (Ausführen) definiert werden:
<stsuuser:ContextAttributes>
<!-- Action -->
<stsuuser:Attribute name="Action" type="urn:ibm:names:ITFIM:stsmodule:tamazn">
<stsuuser:Value>x</stsuuser:Value>
</stsuuser:Attribute>
</stsuuser:ContextAttributes>
- Action Group = WebService
- Protected Object = ProtectedObjectName (ProtectedObjectName bezeichnet dabei das Kontextaktionsattribut
'stsuser'). So könnte beispielsweise mit dem folgenden Code x für
eXecute (Ausführen) definiert werden:
<stsuuser:ContextAttributes>
<!-- ObjectName -->
<stsuuser:Attribute name="ObjectName" type="urn:ibm:names:ITFIM:stsmodule:tamazn">
<stsuuser:Value>ProtectedObjectName</stsuuser:Value>
</stsuuser:Attribute>
</stsuuser:ContextAttributes>
Normalerweise wird ProtectedObjectName entsprechend den Informationen für
AppliesTo in der Anforderung definiert.
- TAM verarbeitet die Berechtigungsanforderung folgendermaßen:
- Suche der Zugriffssteuerungslisten (ACLs), die dem geschützten Objekt ProtectedObjectName zugeordnet sind
- Prüfung, ob die Zugriffssteuerungslisten dem Benutzer die Aktion a in der Aktionsgruppe
WebService gewähren (der Benutzer wird entweder direkt oder indirekt durch die Zugehörigkeit zu einer angegebenen Gruppe genannt).
- Die WS-Trust-Anforderung wird an den Broker zurückgegeben. Wenn diese Aktion das Ergebnis einer Zuordnungsanforderung ist, enthält die WS-Trust-Anforderung die zugeordneten Identitätstoken.
Weitere Informationen zur Konfiguration von TFIM und TAM finden Sie in der Information Center für IBM® Sicherheitssysteme.