WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

セキュリティー・プロファイル

セキュリティー・プロファイルでは、メッセージ・フローの SecurityPEP ノードとセキュリティーが有効になっている入出力ノードで実行するセキュリティー操作を定義します。

セキュリティー・プロファイルは、メッセージ・フローのデプロイ前にブローカー管理者により構成され、実行時にセキュリティー・マネージャーによりアクセスされます。

セキュリティー・プロファイルにより、ブローカー管理者は、ID とセキュリティー・トークンの伝搬、認証、許可、およびマッピングをメッセージ・フロー内のメッセージに関連付けられた ID またはセキュリティー・トークンに対して実行するかどうかを指定し、実行する場合はどの外部セキュリティー・プロバイダー (ポリシー決定点 (PDP) とも呼ばれる) を使用するかを指定することができます。 IBM® Tivoli® Federated Identity Manager (TFIM) V6.1 および WS-Trust v1.3 に準拠したセキュリティー・トークン・サーバー (TFIM V6.2 を含む) は、認証、許可、およびマッピング用にサポートされています。 Lightweight Directory Access Protocol (LDAP) は、認証および許可用にサポートされています。

セキュリティー・プロファイルは、SecurityPEP ノード、およびセキュリティーが使用可能な入力、出力、および要求の各ノードに適用され、ブローカー・アーカイブ・エディターでデプロイメント時に管理者により構成されます。 これらの各ノードは (ブローカー・アーカイブ・エディターで)「セキュリティー・プロファイル」プロパティーを持ちますが、 これはブランクのままにするか、「セキュリティーなし」に設定するか、または特定のセキュリティー・プロファイル名に設定することができます。 ノードのセキュリティーを明示的にオフにするには、「セキュリティーなし」を設定します。 「セキュリティー・プロファイル」プロパティーをブランクのままにすると、ノードはメッセージ・フロー・レベルに設定された「セキュリティー・プロファイル」プロパティーを継承します。 両方のレベルで「セキュリティー・プロファイル」プロパティーをブランクのままにすると、そのノードのセキュリティーはオフになります。 このプロパティーが特定のセキュリティー・プロファイルの名前に設定されると、そのプロファイルによって、どのメッセージ・フローにセキュリティーが構成されるかが決まります。 名前の指定されたセキュリティー・プロファイルが実行時に存在しない場合、メッセージ・フローはデプロイに失敗します。 指定された外部セキュリティー・プロバイダーが、セキュリティー操作のためにノードに構成されたトークン・タイプをサポートしていない場合は、エラーが報告され、メッセージ・フローはデプロイに失敗します。

セキュリティー・プロファイルでは、伝搬が必要かどうかも指定されます。 伝搬を指定する事前構成プロファイルは、出力および要求の各ノードの使用のために提供されています。 このプロファイルは「デフォルト伝搬」セキュリティー・プロファイルです。 このプロファイルは、入力ノードで使用して、トークンを抽出してから SecurityPEP ノードで伝搬または処理する準備の整ったメッセージ・ツリーに入れることもできます。

セキュリティー・プロファイルには、以下のプロパティーの値が含まれます。

authentication
ソース ID に対して実行される認証のタイプを定義します。 このプロパティーは SecurityPEP ノードおよび入力ノードにのみ適用されます。 詳しくは、認証および検証を参照してください。
authenticationConfig
これはプロバイダーに接続するためにブローカーが必要とする情報と、ID トークンを検索するために必要な情報を定義します。 これはプロバイダー固有の構成ストリングです。 このプロパティーは SecurityPEP ノードおよび入力ノードにのみ適用されます。
mapping
ソース ID に対して実行されるマッピングのタイプを定義します。 このプロパティーは SecurityPEP ノードおよび入力ノードにのみ適用されます。 詳しくは、ID マッピングを参照してください。
mappingConfig
ブローカーがプロバイダーに接続する方法を定義し、マッピング・ルーチンを検索するために必要な追加情報が含まれています。 これはプロバイダー固有の構成ストリングです。 このプロパティーは SecurityPEP ノードおよび入力ノードにのみ適用されます。
authorization
マップ済みまたはソース ID に対して実行される許可検査のタイプを定義します。 このプロパティーは SecurityPEP ノードおよび入力ノードにのみ適用されます。 詳しくは、許可を参照してください。
authorizationConfig
ブローカーがプロバイダーに接続する方法を定義し、 アクセスの検査に使用するための追加情報 (例えば、メンバーシップを検査できるグループなど) が含まれています。 これはプロバイダー固有の構成ストリングです。 このプロパティーは SecurityPEP ノードおよび入力ノードにのみ適用されます。
passwordValue
パスワードがメッセージ・フローに入力されるときに、どのように扱われるかを定義します。 PLAIN を選択した場合、パスワードはプレーン・テキストで「プロパティー」フォルダーに表示されます。 OBFUSCATE を選択した場合、パスワードは Base64 エンコードで「プロパティー」フォルダーに表示されます。 MASK を選択した場合、パスワードは 4 つのアスタリスク (****) として「プロパティー」フォルダーに表示されます。 このプロパティーは SecurityPEP ノードおよび入力ノードにのみ適用されます。
Propagation
出力/要求ノード上で ID 伝搬を有効または無効にします。 セキュリティーを有効にした入力ノード上で ID 伝搬のみを選択し、他の一切のセキュリティー操作を指定しないことにより、抽出された着信 ID またはセキュリティー・トークンを、出力ノードや要求ノードなど、メッセージ・フロー内の他のノードで使用できるようにすることができます。 詳しくは、ID およびセキュリティー・トークンの伝搬を参照してください。

LDAP、TFIM、WS-Trust v1.3 のいずれかに準拠したセキュリティー・トークン・サーバー (STS) に対応したセキュリティー・プロファイルの構成については、セキュリティー・プロファイルの作成を参照してください。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:47:53


概念トピック概念トピック | バージョン 8.0.0.5 | ap04070_