WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

ID またはセキュリティー・トークンの抽出の構成

メッセージから ID またはセキュリティー・トークンを抽出し、プロパティー・ツリーの ID フィールドに格納するように、SecurityPEP ノードまたはセキュリティーが有効になっている入力ノードを構成できます。その結果、メッセージ・フロー全体でその ID またはトークンを処理すること、さらには出力ノードまたは要求ノードでその ID またはトークンを伝搬することが可能になります。

始める前に:

適切なセキュリティー・プロファイルの存在を確認します。または新規のセキュリティー・プロファイルを作成します。 セキュリティー・プロファイルの作成を参照してください。

入力ノードまたは SecurityPEP ノードに、セキュリティー操作 (認証、マッピング、許可のいずれか) を指定したプロファイル、または伝搬を有効に設定したプロファイルが関連付けられていると、そのノードは、メッセージのビット・ストリームから ID またはセキュリティー・トークンを取得できます。
  • 「ID トークン・タイプ」セキュリティー・プロパティーが「トランスポート・デフォルト」に設定されている MQInput ノードは、メッセージ記述子 (MQMD) から UserIdentifier エレメントを取得して、「プロパティー」フォルダーの「ID ソース・トークン」エレメントに書き込みます。 同時に、これは「ID ソース・タイプ」エレメントを username に、「ID ソース発行元」エレメントを MQMD.PutApplName に設定します (プット・アプリケーション名)。
  • 「ID トークン・タイプ」セキュリティー・プロパティーが「トランスポート・デフォルト」に設定されている HTTPInput ノードは、HTTP 要求から BasicAuth ヘッダーを取得し、デコードしてから、「プロパティー」フォルダーの「ID ソース・トークン」エレメントと「パスワード」エレメントに書き込みます。 同時に、これは「ID ソース・タイプ」エレメントを username + Password に、「ID ソース発行元」エレメントを HTTP ヘッダー UserAgent プロパティーに設定します。
  • SOAPInput ノードは、構成済みの WS-Security のポリシー・セットとバインディングで定義されている適切なトークンを取得します。 適切なトークンが定義されていない場合は、トランスポート・バインディングによってトークン・タイプが決まります。 例えば、HTTP トランスポートは BasicAuth になります。 SOAPInput ノードは、取得したトークンを「プロパティー」フォルダーの ID ソース・フィールドに書き込みます。 Kerberos のポリシー・セットとバインディングの場合、トークン・タイプは、Kerberos チケットのサービス・プリンシパル名 (SPN) を格納したユーザー名になります。
  • 「ID トークン・タイプ」プロパティーが「現在のトークン」に設定されている SecurityPEP ノードは、上流の入力ノードまたは SecurityPEP ノードによって抽出され、「プロパティー」フォルダーに格納されたトークンを使用できます。

場合によっては、トランスポート・ヘッダーから抽出された情報は、設定されていないかまたは認証や許可を実行するためには不十分です。 例えば、認証を実行するには Username + Password タイプのトークンが必要ですが、WebSphere MQ ではユーザー名しか入手できないため、着信 ID を信頼するしかありません。 ただし、WebSphere MQ Extended Security Edition を使用してトランスポート・レベルのセキュリティーを適用することで、セキュリティーを向上させることができます。

トランスポート・ヘッダーが必要な ID 信任状を提供できない場合、情報は着信メッセージの本体の一部として提供される必要があります。 メッセージの本体から ID 情報を取り込めるようにするには、その情報の場所を指定する必要があります。 そのために、HTTP、MQ、SCA の各入力ノードでは「セキュリティー」タブを使用し、SecurityPEP ノードでは「基本」タブを使用し、SOAP ノードでは、必要なポリシー・セットとバインディングの WS-Security プロファイルを構成します。 Kerberos のポリシー・セットとバインディングを構成した SOAP ノードは、Kerberos チケットのサービス・プリンシパル名 (SPN) を格納したユーザー名トークンを抽出します。

  1. 「ID トークン・タイプ」で、メッセージ内の ID トークンのタイプを指定します。 このタイプは、以下の値の 1 つを持つことができます。
    • Transport Default(セキュリティーを使用可能な入力ノード上)
    • Current token (SecurityPEP ノード上)
    • Username
    • ユーザー名およびパスワード
    • X.509 Certificate
    • SAML assertion
    • Kerberos GSS v5 AP_REQ (SecurityPEP ノード)
    • LTPA v2 トークン (SecurityPEP ノード)
    • ユニバーサル WSSE トークン (SecurityPEP ノード)
    セキュリティーを使用可能な入力ノードでは、デフォルト値は Transport Default です。 SecurityPEP ノードの場合、デフォルト値は Current token で、この場合には「プロパティー」フォルダーの ID マップ済みフィールドまたはソース・フィールドにあるトークン・タイプが使用されます。
  2. 「ID トークンのロケーション」で、ID が指定されるメッセージ内のロケーションを指定します。 このストリングは、ESQL フィールド参照、XPath 式、ストリング・リテラルのいずれかの形式になります。 「ユーザー名」「ユーザー名とパスワード」「SAML アサーション」「Kerberos GSS v5 AP_REQ」「LTPA v2 トークン」「X.509 証明書」のいずれかのタイプのトークンに解決される値を指定しなければなりません。 ストリング・リテラルを使用する場合、単一引用符で囲む必要があり、ピリオド (.) は含めないようにしてください。.
  3. 「ID パスワードのロケーション」で、パスワードが指定されるメッセージ内のロケーションを指定します。 このストリングは ESQL フィールド参照、XPath 式、またはストリング・リテラルの形式であり、パスワードを含むストリングに解決されなければなりません。 ストリング・リテラルを使用する場合、単一引用符で囲む必要があり、ピリオド (.) は含めないようにしてください。. このオプションを設定できるのは、「ID トークン・タイプ」「ユーザー名とパスワード」に設定されている場合に限られます。
  4. 「ID issuedBy のロケーション」で、ID の発行者に関する情報が保持される (メッセージ内の) ロケーションを示すストリングまたはパス式を指定します。 このストリングは、ID が定義された場所を明示する、ESQL フィールド参照、XPath 式、またはストリング・リテラルの形式です。 ストリング・リテラルを使用する場合、単一引用符で囲む必要があり、ピリオド (.) は含めないようにしてください。.

    セキュリティーが使用可能な入力ノードでこのプロパティーをブランクのままにしておくと、トランスポート・ヘッダー値がある場合には、それが使用されます。 例えば MQ には、MQMD.PutApplName 値が使用されます。SecurityPEP ノードでこのプロパティーをブランクのままにしておくと、WS-Trust メッセージのオプションの Issuer エレメントなしで WS-Trust 要求が STS に送信されます。

  5. (オプション) プロパティーをメッセージ・フローにプロモートすることにより、すべての入力ノードが同じ情報を共有できるようにします。
セキュリティーが使用可能な入力ノードまたはSecurityPEPノードで ID の抽出を使用可能にするには、少なくとも 1 つのセキュリティー操作 (認証、マッピング、または許可) が構成されているか、伝搬が使用可能にされているセキュリティー・プロファイルを以下のようにして選択します。
  1. WebSphere Message Broker Toolkit で BAR ファイルを右クリックし、次いで「アプリケーションから開く」 > 「ブローカー・アーカイブ・エディター」をクリックします。
  2. 「管理および構成」タブをクリックします。
  3. セキュリティー・プロファイルを設定するフローまたはノードをクリックします。 メッセージ・フローまたはノードについて構成できるプロパティーが、「プロパティー」ビューに表示されます。
  4. 「セキュリティー・プロファイル名」フィールドで、セキュリティー・プロファイルを選択します。
  5. BAR ファイルを保存します。
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:47:54


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | ap04110_