Mit WebSphere Message
Broker, Tivoli Federated
Identity Manager (TFIM) V6.1 und Tivoli Access Manager (TAM) können Sie die Authentifizierung, Zuordnung und Autorisierung steuern.
WebSphere Message
Broker gibt einen einzigen TFIM
WS-Trust-Aufruf für einen Empfangsknoten aus, für den ein TFIM-Sicherheitsprofil konfiguriert ist. Dies bedeutet, dass eine einzige Modulkette für die Ausführung aller erforderlichen Authentifizierungs-, Zuordnungs- und Autorisierungsvorgänge konfiguriert werden muss.
Im folgenden Diagramm ist die Konfiguration von WebSphere Message
Broker, TFIM und TAM dargestellt, die die Authentifizierung, Zuordnung und Autorisierung einer Identität in einem Nachrichtenfluss ermöglicht.
Die Zahlen im Diagramm oben entsprechen dem folgenden Ablauf:
- Eine Nachricht tritt in einen Nachrichtenfluss ein.
- Eine WS-Trust-Anforderung wird vom Broker mit den folgenden Eigenschaften ausgegeben:
- RequestType = Prüfen
- Identity = Token aus Eingabenachricht
- Issuer = Aussteller aus Eingabenachricht
- AppliesTo Address = "Broker.Ausführungsgruppe.Flussname"
- PortType = "Flussname"
- Operation = "Nachrichtenflusszugriff"
- TFIM wählt eine Modulkette zur Verarbeitung der WS-Trust-Anforderung an, die auf den Eigenschaften 'AppliesTo Address' und 'Issuer' der Anforderung basiert.
- Eine Modulkette kann die Authentifizierung ausführen, wenn sie ein Modul (z. B. 'UsernameTokenSTSModule' oder 'X509STSModule') im Modus Auswerten enthält.
- Eine Modulkette kann die Zuordnung mithilfe des Moduls 'XSLTransformationModule' im Modus
Zuordnung ausführen, um die Identitätsinformationen zu bearbeiten.
- Eine Modulkette kann die Berechtigung mithilfe des Moduls 'AuthorizationSTSModule' im Modus Sonstige ausführen. Sie muss mit dem Wert Protected Object Root (Geschütztes Objektstammverzeichnis) konfiguriert werden.
- Das Modul 'AuthorizationSTSModule' führt die Berechtigungsprüfungen durch, indem es eine Anforderung an TAM mit den folgenden Eigenschaften ausgibt:
- TAM verarbeitet die Berechtigungsanforderung folgendermaßen:
- Suche der Zugriffssteuerungslisten (ACLs), die dem geschützten Objekt "<Geschütztes_Objektstammverzeichnis>.<Nachrichtenflussname>.Nachrichtenflusszugriff" zugeordnet sind.
- Prüfen, ob die Zugriffssteuerungslisten die Aktion “i” in der Aktionsgruppe “WebService” für den Benutzer gewähren (wobei der Benutzer direkt oder über die Zugehörigkeit zu einer Gruppe benannt wird).
- Die WS-Trust-Anforderung wird an den Broker zurückgegeben. Wenn diese Aktion das Ergebnis einer Zuordnungsanforderung ist, enthält die WS-Trust-Anforderung die zugeordneten Identitätstoken.
Weitere Informationen zur Konfiguration von TFIM und TAM finden Sie in der Information Center für IBM® Sicherheitssysteme.