WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

メッセージ・フロー・セキュリティーおよびセキュリティー・プロファイル

WebSphere® Message Broker には、メッセージ・フロー・セキュリティーを実装するためのセキュリティー・マネージャーが用意されています。 その結果、対象のメッセージ・インスタンスに添付されている ID に基づいて、メッセージ・フローを流れるメッセージのエンドツーエンド処理を保護できます。

サポートされている外部プロバイダーの詳細とメッセージ・フロー・セキュリティー・マネージャーの操作の詳細については、メッセージ・フローのセキュリティーの概要を参照してください。 SOAP ノードと外部セキュリティー・プロバイダーでサポートされているトークンのタイプについては、IDを参照してください。

メッセージ・フローが、SOAP ノード を使ってインプリメントされた Web サービスであって、WS-Security SOAP ヘッダーから ID を取り込むことになっている場合、SOAP ノードは Policy Enforcement Point (PEP) になり、セキュリティー・プロファイルで定義されている外部プロバイダーは Policy Decision Point (PDP) になります。

WS_Security トークンに添付されている ID に基づいて、メッセージ・フロー・セキュリティーをインプリメントするには、以下の構成が必要です。

メッセージ・フロー・セキュリティーと外部 PDP の代わりに、ブローカーのトラスト・ストアを X.509 証明書認証のローカル PDP として使用することも可能です。 ローカル・ブローカーの機能だけを使用した WS-Security の署名と暗号化では、ブローカーのトラストストアを構成する必要があります。 詳細については、ブローカー・レベルでの鍵ストアおよびトラストストアのランタイム・プロパティーの表示および設定または実行グループ・レベルの鍵ストアおよびトラストストアのランタイム・プロパティーの表示および設定を参照してください。

SOAP ノードでは、Kerberos ベースの WS-Security がサポートされています。 セキュリティーのために Kerberos を使用する場合は、SOAP ノードの WS-Security 処理がホストの Kerberos インフラストラクチャーに直接リンクします。 Kerberos を使用できるようにブローカー・ホストを構成することが必要です。 そのためには、krb.conf ファイルを用意して、Kerberos 鍵配布センター (KDC) とデフォルト・レルムを定義します。 Kerberos keytab ファイルも構成しなければなりません。 Kerberos を構成するための詳細については、ホストの Kerberos の資料を参照してください。

SOAP ノードで Kerberos WS-Security を使用する場合は、「メッセージ・レベル保護」パネルで、Kerberos 対称暗号化を指定したポリシー・セットとバインディングを作成します。「ポリシー・セットとポリシー・セット・バインディング」エディター: 「メッセージ・レベル保護」パネルを参照してください。 さらに、Kerberos 設定パネルで必要な設定を構成してから (「ポリシー・セットとポリシー・セット・バインディング」エディター: 「Kerberos 設定」パネルを参照)、そのポリシー・セットとバインディングを SOAP ノードに関連付けます。 伝搬だけを設定したセキュリティー・プロファイルを SOAP ノードに関連付けることによって、以下の操作で Kerberos を使用できるようにすることも可能です。
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:46:02


概念トピック概念トピック | バージョン 8.0.0.5 | ac56090_