WebSphere® Message
Broker Explorer 内の「DataPower セキュリティー」ウィザードを使用して、
ご使用のメッセージ・フロー内における HTTP、HTTPS 入力、および SOAP の各ノード用の WS-Security ポリシーを扱うための外部 DataPower 装置を構成します。 DataPower ボックスを構成して、メッセージ・フローやブローカー構成に全く変更を加えることなく、
フローへの着信メッセージを暗号化解除し、フローからの出力メッセージを暗号化するように設定できます。
始める前に:「DataPower セキュリティー」ウィザードを使用するには、
ブローカーのキュー・マネージャーで SYSTEM.DEF.SVRCONN チャネルへのアクセス権を設定しておく必要があります。 クライアントは、ここで指定するクライアント・ポートを使用して DataPower 装置にメッセージを直接送信します。
メッセージ・フローの WS-Security のために DataPower 装置を構成するには、以下の手順が必要になります。
- セキュリティーを構成する HTTP(S) 入力および SOAP ノードを選択します。
- DataPower 接続プロファイルを作成するか、既存のプロファイルを編集します。
- デフォルトのポリシー・セットを使用または変更して、暗号化および暗号化解除の WS-Security パラメーターを指定します。
- DataPower ボックスから、使用する特定の暗号鍵を指定します。
「DataPower セキュリティー」ウィザードを実行すると、
DataPower 装置に以下の構成が作成されます。
- XML ファイアウォール。オプションとしてバック (HTTPSInput ノード用) およびフロント (クライアント) SSL 接続を使用します。
- XML ファイアウォール・ポリシー。HTTP Input または SOAP ノードごとのインバウンド/要求規則とアウトバウンド/応答規則のリストで構成されます。
- 各インバウンド/要求規則。ポリシー・セットで指定されたパラメーターを使用する暗号化解除アクションで構成されます。
- 各アウトバウンド/応答規則。ポリシー・セットで指定されたパラメーターを使用する暗号化アクションで構成されます。
メッセージ・フローに DataPower セキュリティーを構成するには、
以下のようにします。
- 作業対象のメッセージ・フローまたは実行グループを右クリックし、「プロパティー」をクリックします。 HTTP、HTTPS Input、および SOAP の各ノードが含まれる単一のメッセージ・フローにおけるセキュリティー処理を有効にすることもできますし、特定の実行グループを選択して、その実行グループ内のすべてのメッセージ・フロー内にあるこれらのノードに関してセキュリティー処理を有効にすることもできます。
- 「プロパティー」ウィンドウの左方にある「DataPower」をクリックし、
「DataPower」タブを開きます。
- 「セキュリティーの構成」をクリックして、「DataPower 装置上のセキュリティー」ウィンドウを開きます。 「フロー詳細」表に、メッセージ・フローの HTTP、HTTPS Input、および SOAP の各ノードが表示されます。
- オプション・リストから「ポリシー・セット・バインディング」を選択します。 「ポリシー・セット・バインディングがありません」オプションを選択すると、ポリシー規則には暗号化または暗号化解除ノードは指定されません。 このオプションは、ポリシー・セット・バインディングを適用する前に、通信チャネルのテストとして使用できます。 ポリシー・セット・バインディングを作成するには、「ポリシー・セットの編集」をクリックします。 「ポリシー・セットとポリシー・セット・バインディング」エディターの詳細については、「ポリシー・セットとポリシー・セット・バインディング」エディターを参照してください。
- DataPower 詳細セクションで、オプション・リストからユーザー・プロファイルを選択します。 「プロファイルの編集」をクリックして、接続プロファイルを作成または編集します。 プロファイルを作成するには、以下のようにします。
- 「DataPower 接続プロファイル」ウィンドウで、「追加」をクリックします。
- 値を編集するには、表内の関連セルをクリックします。 DataPower 装置の有効なユーザー名、ドメイン、ホスト名を指定する必要があります。
- 「終了」をクリックします。 これで、「DataPower 装置上のセキュリティー」ウィンドウで新しいまたは編集済みのプロファイルを選択できるようになりました。
- 「パスワード」フィールドでプロファイルのパスワードを追加します。
「DataPower 接続プロファイル」ウィンドウを使用して、別のマシンの WebSphere Message
Broker Explorer にプロファイルをインポートしたり、そこからプロファイルをエクスポートしたりすることもできます。
- この時点で、新しいポリシーを作成するか、既存のポリシーにマージするかを選択する必要があります。 存在しないポリシーとマージしようとすると、新しいポリシーが作成されます。 マージを行うと要求規則と応答規則がご使用のポリシーに追加されますが、既存の規則は上書きされません。
またマージによって、既存のファイアウォール設定が変更されることもありません。
- ご使用の XML ファイアウォールの名前と、HTTP クライアントが DataPower ボックスに接続するクライアント・ポートの名前を入力します。
- オプション: 構成するノードを「フロー詳細」セクションで選択し、「次へ」をクリックし、
DataPower 装置の XML ファイアウォール SSL 設定や暗号化解除/暗号化ルールを選択します。
- 「終了」をクリックします。 暗号プロファイルを取得するために、DataPower ボックス上のドメインに対する接続が試行されます。
- 「はい」をクリックして、DataPower 装置の構成を変更することを確認します。
ご使用のメッセージ・フローまたは実行グループに関する DataPower セキュリティー設定が構成されました。