セキュリティーの有効な入力ノードを構成することにより、メッセージ・フロー・セキュリティー・マネージャーを起動できます。
次の図は、メッセージ・フローの例を示して、メッセージ・フロー内でセキュリティーの有効な入力ノードが入力メッセージを受け取るときに生じる一連のイベントの概要を示しています。
mqsicreateconfigurableservice コマンドを使用するか、WebSphere® Message Broker Explorer にあるエディターを使用して、セキュリティー・プロファイルを作成できます。 次いでブローカー・アーカイブ・エディターを使用して、個別のノードまたはメッセージ・フロー全体に対してセキュリティー・プロファイルを構成します。 セキュリティー・プロファイルをメッセージ・フローに関連付ける場合、セキュリティー・プロファイルは、メッセージ・フロー内のセキュリティーの有効なすべての入出力ノード、および SecurityPEP ノードに適用されます。 ただし、個別のノードに関連付けられたセキュリティー・プロファイルが、メッセージ・フローに関連付けられたセキュリティー・プロファイルに優先します。 「デフォルト伝搬」という名前の事前定義されたセキュリティー・プロファイルが、ID の伝搬を設定するために提供されています。 ノードに明示的にセキュリティーを設定しない場合には、セキュリティー・プロファイルを「セキュリティーなし」に設定します。
SOAPInput ノードで (基礎のトランスポート ID の代わりに) WS-Security ヘッダーの ID を使用することが必要な場合は、関連するトークン・プロファイルのための適切なポリシー・セットおよびバインディングも定義および指定する必要があります。 詳しくは、ポリシー・セットを参照してください。
MQ、HTTP、または SCA 入力ノードでは、「セキュリティー」プロパティー・ページを使用して、ID の抽出を構成します。 このデフォルトは、Transport Default です。 例えば、HTTPInput ノードはユーザー名およびパスワードを HTTP BasicAuth ヘッダーから抽出します。 「セキュリティー」プロパティー・ページにより、ID トークンのタイプとその場所を明示的に構成して抽出を制御できます。 このソース ID 情報は、メッセージ・ヘッダー、メッセージ本体、またはその両方の中に入れることができます。
各ノードでサポートされるトークンについて詳しくは、IDを参照してください。
認証の結果を格納するためのセキュリティー・キャッシュが用意されています。これにより、メッセージ・フローに届く後続の (同じ資格情報を持つ) メッセージは、キャッシュされた結果を使用して実行されます (キャッシュの有効期限が切れていない場合)。
メッセージ・ブローカー によって ID マッピング用にサポートされるセキュリティー・プロバイダーは、WS-Trust V1.3 準拠のセキュリティー・トークン・サーバー (TFIM V6.2 など)、および TFIM V6.1 です。
ID マッピングの結果を格納するためのセキュリティー・キャッシュが用意されています。
代わりに、SecurityPEP ノードをメッセージ・フロー内の任意のポイントで使用して、セキュリティーの有効な入力ノードで認証された ID をマップすることもできます。 詳しくは、SecurityPEP ノードを使用するメッセージ・フロー・セキュリティーの起動を参照してください。
メッセージ・ブローカー によって許可用にサポートされるセキュリティー・プロバイダーは、LDAP、WS-Trust V1.3 準拠のセキュリティー・トークン・サーバー (TFIM V6.2 など)、および TFIM V6.1 です。
許可の結果を格納するためのセキュリティー・キャッシュが用意されています。
代わりに、SecurityPEP ノードをメッセージ・フロー内の任意のポイントで使用して、セキュリティーの有効な入力ノードで認証された ID を許可することもできます。 詳しくは、SecurityPEP ノードを使用するメッセージ・フロー・セキュリティーの起動を参照してください。
セキュリティー例外は、セキュリティーの有効な入力ノードに戻されると、適切なトランスポート処理を実行してメッセージ・フロー・トランザクションを終了します。 例えば、HTTPInput ノードは HTTP ヘッダーを出力ターミナルに伝搬しないで、401 HTTP 応答コードと共に戻します。 SOAPInput ノードは SOAP 障害を戻して、セキュリティー例外を報告します。 あるいは、「セキュリティー例外を通常の例外として扱う」プロパティーが、セキュリティーの有効な入力ノードで設定されている場合は、セキュリティー例外がノードの Failure ターミナルに伝搬されます。 セキュリティーの有効な入力ノードがその Out ターミナルに伝搬するのは、関連付けられたセキュリティー・プロファイルで構成されたすべての操作が正常に完了した場合だけです。
セキュリティー・プロファイルで伝搬が必要なことが指示される場合、マップ済み ID が使用されます。 マップ ID が設定されていない場合、またはそのトークン・タイプがノードによってサポートされない場合には、ソース ID が使用されます。 ID が設定されていない場合、またはマップ ID もソース ID もトークン・タイプがノードによってサポートされない場合には、セキュリティー例外がノードに戻されます。
SOAP ノードでは、トークン・プロファイルをノードに関連付けるために、適切なポリシー・セットおよびバインディングも必要となります。
セキュリティー・トークンを出力ノードで発行されたメッセージに組み込む場合、出力ノードがそのタイプのトークンを伝搬できないときには、計算ノードを (出力ノードの前に) 使用して、トークンをプロパティー・ツリーから関連するメッセージの場所に入れることができます。
各ノードでサポートされるトークンについて詳しくは、ID およびセキュリティー・トークンの伝搬を参照してください。