メッセージ・フローで SecurityPEP ノードを使用して、メッセージ・フロー内の任意の時点で、メッセージ・フロー・セキュリティー・マネージャーを起動します。
このトピックには、以下のセクションが含まれています。
SecurityPEP ノードにより、 メッセージ・フロー内の入力ノードから出力 (または要求) ノードまでの間の任意の点で、メッセージ・フロー・セキュリティー・マネージャーを起動できます。
メッセージ・フロー・セキュリティーにより、ブローカーは、メッセージ・フローの中でメッセージに入れて伝達される ID またはセキュリティー・トークンのエンドツーエンド処理を行うことができます。 この機能により、メッセージ・フローのセキュリティーを構成して、メッセージと関連付けられた ID またはセキュリティー・トークンに基づいてアクセスを制御すること、およびトランスポート・タイプとメッセージ形式とのどちらにも依存しないセキュリティー・メカニズムを提供することができます。
SecurityPEP ノードにより、メッセージ・フロー入力ノードがメッセージ・フロー・セキュリティーをサポートしない場合 (例えば TCPIPClientInput や SAPInput ノード) でも、セキュリティー・マネージャーを起動できます。 メッセージ・フロー・セキュリティーをサポートしない入力ノードを使用する場合や、必要なセキュリティー操作を識別できるようになる前にメッセージの処理またはルーティングが必要な場合は、SecurityPEP ノードを使用してメッセージ・フロー・セキュリティーを起動できます。
SecurityPEP ノードによって、メッセージ・フロー内のさまざまな時点で、セキュリティーのさまざまな側面を起動することもできます。 例えば、セキュリティーが有効な入力ノードで認証が行われることが必要となる場合があり、一方では、メッセージ・フロー内のロジックが必要なビジネス・オペレーションを判別した後にトークン・マッピングおよび許可が必要となる場合があります。 あるいは、複数の要求ノードのあるメッセージ・フローで、1 つのタイプのセキュリティー・トークンを別のタイプにマップして要求ノードによる伝搬を可能にするために、SecurityPEP ノードが必要となる場合があります。
ノード・プロパティーを使用して、メッセージ・ツリー内でのセキュリティー・トークンの位置を指定できます。 これらのプロパティーには、メッセージ・ツリー内でのセキュリティー・トークンの位置を定義する、XPath 式または ESQL パスが含まれます。 メッセージ・フロー・セキュリティー・マネージャーは、この情報をメッセージから抽出して外部のポリシー決定ポイント (PDP) に送ります。 これは、その情報を認証、許可、またはマッピングのために使用します。 使用する PDP は、関連付けられたセキュリティー・プロファイルによって構成されます。
あるいは、上流の入力ノードまたは SecurityPEP ノードによって既に抽出されて、「プロパティー」フォルダーに保管されている現在のトークンを使用するように、SecurityPEP ノードを構成することもできます。 ノードが Current token のトークン・タイプで構成されているとき、マップされたトークンが存在する場合は、マップされたトークンが使用されます。 その他の場合には、ソース・トークンが使用されます。
SecurityPEP ノードは、認証、許可、マッピングなどのセキュリティー操作がノードによって強制されるように指定する、セキュリティー・プロファイルと関連付けられている必要があります。 ノードに関連付けられたセキュリティー・プロファイルがない場合、ノードはセキュリティーを強制することなくメッセージを Output ターミナルに伝搬します。 セキュリティー・プロファイルは、メッセージ・フローのデプロイ前にブローカー管理者により構成され、実行時にセキュリティー・マネージャーによりアクセスされます。 セキュリティー・プロファイルがメッセージ・フローまたはノードのいずれかに指定された場合は、メッセージ・フローがデプロイされるときにプロファイルが使用可能でなければなりません。 そうでない場合、デプロイメント・エラーが発生します。
関連付けられたセキュリティー・プロファイルによって、使用する外部セキュリティー・プロバイダー (LDAP、WS-Trust V1.3 STS、または TFIM V6.1) を指定すること、およびその使用方法を構成することができます。 セキュリティー・プロファイルは、ブローカー・アーカイブ・エディターによって「セキュリティー・プロファイル」プロパティーを編集することにより、デプロイメントの際に SecurityPEP ノード (またはその所有するメッセージ・フロー) に関連付けられます。
SecurityPEP ノードでサポートされるセキュリティー・トークンのタイプについて詳しくは、IDを参照してください。
SecurityPEP ノードは、構成されたすべてのセキュリティー操作が正常に完了した場合にのみ、メッセージを Out ターミナルに伝搬します。 入力メッセージは、ソース ID およびマップされた ID (存在する場合) への値の取り込みに関係なく、変更されずに伝搬されます。
構成されたいずれかのセキュリティー操作が失敗した場合、SecurityPEP ノードは、(セキュリティーが使用可能な入力ノードとは異なり) リカバリー可能例外でラップされたセキュリティー例外をスローします。 これにより、メッセージ・フローで指定されたエラー処理が起動します。 このようにして、例外をキャッチし、処理することが可能になります。 または、SecurityPEP ノードの Failure ターミナルを特定のセキュリティー障害処理ロジックに連結し、このノード例外を処理することもできます。 セキュリティー操作が失敗すると、入力メッセージは例外リストの値の取り込みに関係なく、変更されずに伝搬されます。
SecurityPEP ノードはパレットの 「セキュリティー」ドロワーに含まれていて、WebSphere Message Broker Toolkit では次のアイコンによって表されます。
サンプルに関する情報は、WebSphere Message Broker Toolkit に統合されているインフォメーション・センター、またはオンライン・インフォメーション・センターを使用する場合にのみ表示できます。 サンプルは、WebSphere Message Broker Toolkit に統合されているインフォメーション・センターを使用する場合にのみ実行できます。
SecurityPEP ノードのインスタンスをメッセージ・フローに入れると、それを構成することができます。メッセージ・フロー・ノードの構成を参照してください。 ノードのプロパティーが、「プロパティー」ビューに表示されます。
デフォルト値が定義されていないすべての必須プロパティーには、アスタリスクのマークが付きます。
以下のように、SecurityPEP ノードを構成します。
Current token が選択された場合、「ID トークンのロケーション」および「ID パスワードのロケーション」フィールドが使用不可になります。
このプロパティーは、「ID トークンのタイプ」プロパティーが Current token に設定された場合に使用不可になります。
このオプションは、「ID トークンのタイプ」が Username + Password に設定された場合にのみ設定できます。
このプロパティーは、「ID トークンのタイプ」プロパティーが Current token に設定された場合に使用不可になります。
関連付けられたセキュリティー・プロファイルが WS-Trust v1.3 STS プロバイダー (例えば、TFIM V6.2) を指定して、このフィールドがブランクのままにされた場合、WS-Trust 要求には WS-Trust Issuer.Address エレメントが含まれません。
この値は ESQL フィールド参照、XPath 式、またはストリング・リテラルで指定できます。 ストリング・リテラルを使用する場合、単一引用符で囲む必要があり、ピリオド (.) は含めないようにしてください。,
デフォルトでは、この値はメッセージ・フローの完全修飾名の URI であり、形式は uri:Brokername.Execution Group Name.Message Flow Name です。
この値は ESQL フィールド参照、XPath 式、またはストリング・リテラルで指定できます。 ストリング・リテラルを使用する場合、単一引用符で囲む必要があり、ピリオド (.) は含めないようにしてください。,
デフォルトで、この値はブランクのままになります。 これは、WS-Trust 要求にこのエレメントが含まれないことを示します。
この値は ESQL フィールド参照、XPath 式、またはストリング・リテラルで指定できます。 ストリング・リテラルを使用する場合、単一引用符で囲む必要があり、ピリオド (.) は含めないようにしてください。,
詳しくは、メッセージ・フローのセキュリティーの概要およびメッセージ・フロー・セキュリティーのセットアップを参照してください。
SecurityPEP ノードのターミナルについては、次の表に説明されています。
ターミナル | 説明 |
---|---|
In | 処理するメッセージを受け入れる入力ターミナル。 |
Out | SecurityPEP ノードがセキュリティー・プロファイルに関連付けられており、構成されたすべてのセキュリティー操作が正常に完了した場合に、メッセージが経路指定される出力ターミナル。 伝搬されるプロパティー・フォルダー ID エレメントは、構成されたセキュリティー操作によって更新されます。 |
Failure | 構成されたセキュリティー操作が例外を戻すなど、ノードに障害が生じた場合に、メッセージがルーティングされる出力ターミナル。 |
以下の表は、ノード・プロパティーについて説明しています。 M の見出しの列は、プロパティーが必須 かどうかを示します (デフォルトが定義されていない場合に値を入力することが必要なら、アスタリスクのマークが付きます)。 C の見出しの列は、プロパティーが構成可能 (メッセージ・フローを BAR ファイルに追加してデプロイするとき、値を変更できる) かどうかを示します。
SecurityPEP ノードの「説明」プロパティーについては、次の表に説明されています。
プロパティー | M | C | デフォルト | 説明 |
---|---|---|---|---|
ノード名 | いいえ | いいえ | ノード・タイプ、SecurityPEP | ノードの名前。 |
簡略説明 | いいえ | いいえ | ノードの簡単な説明 | |
詳細説明 | いいえ | いいえ | メッセージ・フロー内のノードの目的を説明するテキスト |
SecurityPEP ノードの基本プロパティーについては、次の表に説明されています。 セキュリティー・プロファイルがノードに関連付けられている場合に、メッセージからの ID の抽出を制御するプロパティーの値を設定します。 これらのプロパティーの詳細については、ID、ID またはセキュリティー・トークンの抽出の構成、メッセージ・フローのセキュリティーの概要、およびメッセージ・フロー・セキュリティーのセットアップを参照してください。
プロパティー | M | C | デフォルト | 説明 |
---|---|---|---|---|
ID トークンのタイプ | いいえ | いいえ | なし | このプロパティーは、着信メッセージ内にある ID トークンのタイプを指定します。 有効な値は以下のとおりです。
WS-Trust V1.3 STS (TFIM V6.2 など) を使用して RACF® PassTicket を検証する場合に「ユーザー名およびパスワード」値を指定することもできます。 |
ID トークンのロケーション | いいえ | いいえ | なし | このプロパティーは、メッセージ内のどこで ID またはセキュリティー・トークンを見つけられるかを指定します。 その位置は、ESQL フィールド参照、XPath 式、またはストリング・リテラルで指定します。 ストリング・リテラルを使用する場合、単一引用符で囲む必要があり、ピリオド (.) は含めないようにしてください。, |
ID パスワードのロケーション | いいえ | いいえ | なし | このプロパティーは、メッセージ内のどこでパスワードを見つけられるかを指定します。 その位置は、ESQL フィールド参照、XPath 式、またはストリング・リテラルで指定します。
ストリング・リテラルを使用する場合、単一引用符で囲む必要があり、ピリオド (.) は含めないようにしてください。, このプロパティーは、「ID トークン・タイプ」が「ユーザー名およびパスワード」に設定されている場合にのみ設定できます。 |
ID issuedBy のロケーション | いいえ | いいえ | なし | このプロパティーは、ID またはセキュリティー・トークンの発行者を示す XPath 式または ESQL パスを指定します。 その位置は、ESQL フィールド参照、XPath 式、またはストリング・リテラルで指定します。 ストリング・リテラルを使用する場合、単一引用符で囲む必要があり、ピリオド (.) は含めないようにしてください。, このオプションは、関連付けられたセキュリティー・プロファイルが認証、マッピング、または許可のために WS-Trust V1.3 STS プロバイダー (例えば TFIM V6.2) を指定するときに使用されます。 この場合、このフィールドがブランクのままにされると、WS-Trust Issuer.Address エレメントは送信されません。 |
SecurityPEP ノードの拡張プロパティーについては、次の表に説明されています。 これらのプロパティーは、セキュリティー・プロファイルが WS-Trust V1.3 STS (例えば TFIM V6.2) を指定する場合にのみ使用されます。
プロパティー | M | C | デフォルト | 説明 |
---|---|---|---|---|
WS-Trust Applies-To アドレス | いいえ | はい | 未設定 | このプロパティーは、WS-Trust メッセージの /wst:RequestSecurityToken/wsp:AppliesTo エレメントのアドレスを設定します。 このプロパティーを使用して、セキュリティー・トークンが検証または発行されるサービスの URI を提供します。 この値は ESQL フィールド参照、XPath 式、またはストリング・リテラルで指定できます。 ストリング・リテラルを使用する場合、単一引用符で囲む必要があり、ピリオド (.) は含めないようにしてください。, デフォルトでは、この値はメッセージ・フローの完全修飾名の URI であり、形式は uri:Brokername.Execution Group Name.Message Flow Name です。 |
WS-Trust Applies-To サービス | いいえ | はい | 未設定 | このプロパティーは、WS-Trust メッセージの /wst:RequestSecurityToken/wsp:AppliesTo エレメントのサービス名を設定します。 このプロパティーを使用して、セキュリティー・トークンが検証または発行されるサービスのサービス名を提供します。 この値は ESQL フィールド参照、XPath 式、またはストリング・リテラルで指定できます。 ストリング・リテラルを使用する場合、単一引用符で囲む必要があり、ピリオド (.) は含めないようにしてください。, デフォルトで、この値はブランクのままになります。 これは、WS-Trust 要求にこのエレメントが含まれないことを示します。 |
WS-Trust Applies-To ポート・タイプ | いいえ | はい | 未設定 | このプロパティーは、WS-Trust メッセージの /wst:RequestSecurityToken/wsp:AppliesTo エレメントのポート・タイプを設定します。 このプロパティーを使用して、セキュリティー・トークンが検証または発行されるサービスのポート・タイプを提供します。 この値は ESQL フィールド参照、XPath 式、またはストリング・リテラルで指定できます。 ストリング・リテラルを使用する場合、単一引用符で囲む必要があり、ピリオド (.) は含めないようにしてください。, デフォルトで、この値はブランクのままになります。 これは、WS-Trust 要求にこのエレメントが含まれないことを示します。 |
プロパティー | M | C | デフォルト | 説明 |
---|---|---|---|---|
イベント | いいえ | いいえ | なし | ノードに対して定義したイベントが、このタブに表示されます。 デフォルトでは、メッセージ・フローのどのノードに対してもモニター・イベントは定義されません。 ノードのモニター・イベントを作成、変更、または削除するには、「追加」、「編集」、および「削除」を使用します。詳しくは、モニター・プロパティーを使用したモニター・イベント・ソースの構成を参照してください。 「使用可能」チェック・ボックスを選択またはクリアすることによって、ここに表示されているイベントを使用可能および使用不可に設定できます。 |