WebSphere® Message Broker には、メッセージ・フロー・セキュリティーを実装するためのセキュリティー・マネージャーが用意されています。 その結果、対象のメッセージ・インスタンスに添付されている ID に基づいて、メッセージ・フローを流れるメッセージのエンドツーエンド処理を保護できます。
サポートされている外部プロバイダーの詳細とメッセージ・フロー・セキュリティー・マネージャーの操作の詳細については、メッセージ・フローのセキュリティーの概要を参照してください。 SOAP ノードと外部セキュリティー・プロバイダーでサポートされているトークンのタイプについては、IDを参照してください。
メッセージ・フローが、SOAP ノード を使ってインプリメントされた Web サービスであって、WS-Security SOAP ヘッダーから ID を取り込むことになっている場合、SOAP ノードは Policy Enforcement Point (PEP) になり、セキュリティー・プロファイルで定義されている外部プロバイダーは Policy Decision Point (PDP) になります。
メッセージ・フロー・セキュリティーと外部 PDP の代わりに、ブローカーのトラスト・ストアを X.509 証明書認証のローカル PDP として使用することも可能です。 ローカル・ブローカーの機能だけを使用した WS-Security の署名と暗号化では、ブローカーのトラストストアを構成する必要があります。 詳細については、ブローカー・レベルでの鍵ストアおよびトラストストアのランタイム・プロパティーの表示および設定または実行グループ・レベルの鍵ストアおよびトラストストアのランタイム・プロパティーの表示および設定を参照してください。
SOAP ノードでは、Kerberos ベースの WS-Security がサポートされています。 セキュリティーのために Kerberos を使用する場合は、SOAP ノードの WS-Security 処理がホストの Kerberos インフラストラクチャーに直接リンクします。 Kerberos を使用できるようにブローカー・ホストを構成することが必要です。 そのためには、krb.conf ファイルを用意して、Kerberos 鍵配布センター (KDC) とデフォルト・レルムを定義します。 Kerberos keytab ファイルも構成しなければなりません。 Kerberos を構成するための詳細については、ホストの Kerberos の資料を参照してください。