セキュリティー・プロファイルでは、メッセージ・フローの SecurityPEP ノードとセキュリティーが有効になっている入出力ノードで実行するセキュリティー操作を定義します。
セキュリティー・プロファイルは、メッセージ・フローのデプロイ前にブローカー管理者により構成され、実行時にセキュリティー・マネージャーによりアクセスされます。
セキュリティー・プロファイルにより、ブローカー管理者は、ID とセキュリティー・トークンの伝搬、認証、許可、およびマッピングをメッセージ・フロー内のメッセージに関連付けられた ID またはセキュリティー・トークンに対して実行するかどうかを指定し、実行する場合はどの外部セキュリティー・プロバイダー (ポリシー決定点 (PDP) とも呼ばれる) を使用するかを指定することができます。 IBM® Tivoli® Federated Identity Manager (TFIM) V6.1 および WS-Trust v1.3 に準拠したセキュリティー・トークン・サーバー (TFIM V6.2 を含む) は、認証、許可、およびマッピング用にサポートされています。 Lightweight Directory Access Protocol (LDAP) は、認証および許可用にサポートされています。
セキュリティー・プロファイルは、SecurityPEP ノード、およびセキュリティーが使用可能な入力、出力、および要求の各ノードに適用され、ブローカー・アーカイブ・エディターでデプロイメント時に管理者により構成されます。 これらの各ノードは (ブローカー・アーカイブ・エディターで)「セキュリティー・プロファイル」プロパティーを持ちますが、 これはブランクのままにするか、「セキュリティーなし」に設定するか、または特定のセキュリティー・プロファイル名に設定することができます。 ノードのセキュリティーを明示的にオフにするには、「セキュリティーなし」を設定します。 「セキュリティー・プロファイル」プロパティーをブランクのままにすると、ノードはメッセージ・フロー・レベルに設定された「セキュリティー・プロファイル」プロパティーを継承します。 両方のレベルで「セキュリティー・プロファイル」プロパティーをブランクのままにすると、そのノードのセキュリティーはオフになります。 このプロパティーが特定のセキュリティー・プロファイルの名前に設定されると、そのプロファイルによって、どのメッセージ・フローにセキュリティーが構成されるかが決まります。 名前の指定されたセキュリティー・プロファイルが実行時に存在しない場合、メッセージ・フローはデプロイに失敗します。 指定された外部セキュリティー・プロバイダーが、セキュリティー操作のためにノードに構成されたトークン・タイプをサポートしていない場合は、エラーが報告され、メッセージ・フローはデプロイに失敗します。
セキュリティー・プロファイルでは、伝搬が必要かどうかも指定されます。 伝搬を指定する事前構成プロファイルは、出力および要求の各ノードの使用のために提供されています。 このプロファイルは「デフォルト伝搬」セキュリティー・プロファイルです。 このプロファイルは、入力ノードで使用して、トークンを抽出してから SecurityPEP ノードで伝搬または処理する準備の整ったメッセージ・ツリーに入れることもできます。
セキュリティー・プロファイルには、以下のプロパティーの値が含まれます。
LDAP、TFIM、WS-Trust v1.3 のいずれかに準拠したセキュリティー・トークン・サーバー (STS) に対応したセキュリティー・プロファイルの構成については、セキュリティー・プロファイルの作成を参照してください。