WebSphere® Message
Broker、Tivoli® Federated Identity Manager (TFIM) V6.1、および Tivoli Access Manager (TAM) を使用して、認証、マッピング、および許可を制御します。
WebSphere Message
Broker は、TFIM セキュリティー・プロファイルを使用して構成されている入力ノードの単一の TFIM WS-Trust 呼び出しを行います。これはつまり、単一のモジュール・チェーンは、必要なすべての認証、マッピング、および許可操作を実行するように構成する必要があります。
以下の図は、メッセージ・フローでの ID の認証、マッピング、許可を可能にする、WebSphere Message
Broker、TFIM、および TAM の構成を示しています。
上記の図中の番号は、以下のイベントの順序に対応しています。
- メッセージがメッセージ・フローに入力されます。
- 以下のプロパティーで、ブローカーが WS-Trust 要求を発行します。
- RequestType = Validate
- Identity = 入力メッセージからのトークン
- Issuer = 入力メッセージからの発行者
- AppliesTo Address = "Broker.ExecutionGroup.FlowName"
- PortType = "FlowName"
- Operation = "MessageFlowAccess"
- TFIM は、要求の AppliesTo Address および Issuer プロパティーに基づいて WS-Trust 要求を処理するモジュール・チェーンを選択します。
- validate モードで、モジュール・チェーンは、モジュール (UsernameTokenSTSModule や X509STSModule など) を組み込んでいる場合に、認証を実行できます。
- mapping モードで、モジュール・チェーンは、XSLTransformationModule を使用してマッピングを実行し、ID 情報を操作できます。
- other モードで、モジュール・チェーンは、AuthorizationSTSModule を使用して許可を実行できます。 モジュール・チェーンは Protected Object Root 値を使用して構成する必要があります。
- AuthorizationSTSModule は、以下のプロパティーで TAM への要求を行って、許可検査を実行します。
- TAM は、以下によって許可要求を処理します。
- 保護オブジェクト "<ProtectedObjectRoot>.<FlowName>.MessageFlowAccess" に関連付けられている Access Control List (ACL) を見つけます。
- ACL が、アクション・グループ "WebService" のアクション "i" の許可をユーザー (直接指名されたユーザー、または指名グループのメンバーシップのユーザー) に与えているかどうかを確認します。
- WS-Trust 応答がブローカーに戻されます。 このアクションがマッピング要求の結果である場合、WS-Trust 応答にはマップされた ID トークンが含まれます。
TFIM および TAMF の構成方法の詳細については、IBM® Security Systems インフォメーション・センターを参照してください。