メッセージから ID またはセキュリティー・トークンを抽出し、プロパティー・ツリーの ID フィールドに格納するように、SecurityPEP ノードまたはセキュリティーが有効になっている入力ノードを構成できます。その結果、メッセージ・フロー全体でその ID またはトークンを処理すること、さらには出力ノードまたは要求ノードでその ID またはトークンを伝搬することが可能になります。
始める前に:
適切なセキュリティー・プロファイルの存在を確認します。または新規のセキュリティー・プロファイルを作成します。 セキュリティー・プロファイルの作成を参照してください。
場合によっては、トランスポート・ヘッダーから抽出された情報は、設定されていないかまたは認証や許可を実行するためには不十分です。 例えば、認証を実行するには Username + Password タイプのトークンが必要ですが、WebSphere MQ ではユーザー名しか入手できないため、着信 ID を信頼するしかありません。 ただし、WebSphere MQ Extended Security Edition を使用してトランスポート・レベルのセキュリティーを適用することで、セキュリティーを向上させることができます。
トランスポート・ヘッダーが必要な ID 信任状を提供できない場合、情報は着信メッセージの本体の一部として提供される必要があります。 メッセージの本体から ID 情報を取り込めるようにするには、その情報の場所を指定する必要があります。 そのために、HTTP、MQ、SCA の各入力ノードでは「セキュリティー」タブを使用し、SecurityPEP ノードでは「基本」タブを使用し、SOAP ノードでは、必要なポリシー・セットとバインディングの WS-Security プロファイルを構成します。 Kerberos のポリシー・セットとバインディングを構成した SOAP ノードは、Kerberos チケットのサービス・プリンシパル名 (SPN) を格納したユーザー名トークンを抽出します。