Los conjuntos de políticas y enlaces definen y
configuran los requisitos de WS-Security y WS-RM,
soportados por WebSphere Message Broker, para los nodos
SOAPInput, SOAPReply,
SOAPRequest, SOAPAsyncRequest y SOAPAsyncResponse.
Un conjunto de políticas es un contenedor para el tipo de política
WS-Security y el tipo de política WS-RM.
Se asocia un enlace de conjunto de políticas a un conjunto de políticas y
contiene la información específica del entorno y la plataforma, por ejemplo, la
información sobre las claves.
Utilice conjuntos de políticas y
enlaces para definir los elementos siguientes, tanto para los mensajes SOAP de
solicitud como de respuesta:
- Autenticación para las señales siguientes:
- Señales de nombre de usuario (requieren que un perfil de seguridad especifique el proveedor de seguridad externo)
- Certificados X.509 (requieren que el almacén de claves y el almacén de confianza del intermediario o un perfil de seguridad especifiquen el proveedor de seguridad externo)
- Aserciones SAML, utilizando el paso a través de SAML 1.1 o 2.0 (requieren que un perfil de seguridad especifique el proveedor de seguridad externo)
- Señales de LTPA, utilizando el paso a través de LTPA (requieren que un perfil de seguridad especifique el proveedor de seguridad externo)
- Cifrado asimétrico (confidencialidad) utilizando certificados X.509 (requiere el almacén de claves y el almacén de confianza del intermediario)
- Cifrado simétrico (confidencialidad) utilizando señales Kerberos (requiere que el host se configure para Kerberos)
- Firma asimétrica (integridad) (requiere el almacén de claves y el almacén de confianza del intermediario)
Se pueden cifrar y firmar bien sea todo el cuerpo del mensaje SOAP o bien partes específicas de la cabecera y el cuerpo del mensaje SOAP.
Los conjuntos de políticas y los enlaces se administran desde el WebSphere Message Broker Explorer, que puede añadir, suprimir, visualizar y editar conjuntos de políticas y enlaces. Los cambios realizados en los conjuntos de políticas y enlaces del kit de herramientas se guardan directamente en el intermediario asociado.
Debe detener y luego reiniciar el flujo de mensajes para que la nueva información de configuración entre en vigor.
También puede exportar e importar conjuntos de políticas y enlaces desde un
intermediario.
Los conjuntos de políticas y sus
enlaces asociados deben guardarse y restaurarse simultáneamente.
Los conjuntos de políticas se asocian a un flujo de mensajes, un nodo o a ambos
en el editor de archivador de intermediario. Para su comodidad, puede especificar los valores para proveedor y consumidor en el nivel del flujo de mensajes. El valor del proveedor se aplica a todos los nodos SOAPInput y SOAPReply del flujo de mensajes. El valor del consumidor se aplica a todos los nodos SOAPRequest, SOAPAsyncRequest, y SOAPAsyncResponse. Se pueden aplicar asignaciones de conjuntos de políticas individuales y enlaces a
nivel de nodo en el editor de archivador de intermediario, y estas asignaciones
tienen prioridad sobre los valores de proveedor y consumidor a nivel de flujo de
mensajes. El valor predeterminado es ninguno, lo que significa que no se va a utilizar ningún conjunto de políticas y enlaces.
Varios nodos del mismo flujo de mensajes pueden hacer referencia al mismo
conjunto de políticas y a los mismos enlaces. Es responsabilidad del
administrador asegurarse de que los conjuntos de políticas necesarios estén
disponibles para el intermediario durante la ejecución. Se emite un error si
el intermediario no puede encontrar el conjunto de políticas o enlaces
asociados.
El resto de este tema describe algunos de los términos que deberá cumplir
cuando configure los conjuntos de políticas y los enlaces.
Conjunto de políticas predeterminadas y enlaces
Cuando
se crea un intermediario, se crea un conjunto de políticas predeterminado y
enlaces denominados WSS10Default. Este valor predeterminado contiene una política de seguridad limitada que especifica que
un Señal de nombre de usuario esté presente en los mensajes de petición (entrada) a
los nodos SOAPInput en el flujo de
mensajes asociado. También se crea un conjunto de políticas WS-RM
predeterminado llamado WSRMDefault.
El enlace de conjunto de políticas
predeterminado hace referencia al conjunto de políticas predeterminado WSS10Default,
pero no a WSRMDefault.
No se pueden editar.
Nodos de consumidor y de proveedor
Los
nodos son de consumidor o de proveedor.
- Nodos de consumidor
- SOAPRequest
- SOAPAsyncRequest
- SOAPAsyncResponse
- Nodos de proveedor
-
Petición y respuesta
La petición y la repuesta son un patrón de intercambio de mensajes (MEP). Describen un cliente que envía un mensaje de Petición SOAP a un servidor de
servicios web que, a su vez, envía un mensaje de Respuesta SOAP de vuelta al
cliente. El mensaje de Petición siempre es el mensaje SOAP del cliente al servidor
y el mensaje de Respuesta es siempre el mensaje SOAP de respuesta del servidor al
cliente. La tabla siguiente describe este patrón con relación a los nodos SOAP de
WebSphere Message Broker:
Nodo |
Punto de vista del intermediario |
Petición |
Respuesta |
SOAPInput |
Entrada del mensaje SOAP |
Mensaje de entrada |
No aplicable |
SOAPReply |
Salida del mensaje SOAP |
No aplicable |
Mensaje de salida |
SOAPRequest |
Salida del mensaje SOAP seguida de una entrada del mensaje SOAP |
Mensaje de salida |
Mensaje de entrada |
SOAPAsyncRequest |
Salida del mensaje SOAP |
Mensaje de salida |
No aplicable |
SOAPAsyncResponse |
Entrada del mensaje SOAP |
No aplicable |
Mensaje de entrada |
Iniciador y destinatario
El iniciador y el destinatario son roles definidos en el intercambio de mensajes SOAP.
- Iniciador
- El rol que envía el mensaje inicial en un intercambio de mensajes.
- Destinatario
- El rol de destino para procesar el mensaje inicial en un intercambio de mensajes.
La
tabla siguiente describe estos roles en relación con los nodos SOAP:
Nodo |
Punto de vista del intermediario |
Iniciador |
Destinatario |
SOAPInput |
Entrada del mensaje SOAP |
Cliente externo que envía el mensaje SOAP al intermediario. |
Nodo SOAPInput |
SOAPReply |
Salida del mensaje SOAP |
Cliente externo que envía el mensaje SOAP original al intermediario. |
Nodo SOAPReply |
SOAPRequest (salida) |
Salida del mensaje SOAP seguida de una entrada del mensaje SOAP |
Nodo SOAPRequest
|
Proveedor externo que recibe el mensaje SOAP |
SOAPRequest (entrada) |
Salida del mensaje SOAP seguida de una entrada del mensaje SOAP |
Nodo SOAPRequest |
Proveedor externo que recibe el mensaje SOAP |
SOAPAsyncRequest |
Salida del mensaje SOAP |
Nodo SOAPAsyncRequest |
Proveedor externo que recibe el mensaje SOAP |
SOAPAsyncResponse |
Entrada del mensaje SOAP |
Nodo SOAPAsyncRequest |
Proveedor externo que recibe el mensaje SOAP |
Nodos SOAPInput y SOAPReply
En este diagrama, el intermediario actúa como destinatario. Un nodo
SOAPInput recibe un mensaje de un cliente (iniciador). Un nodo
SOAPReply responde. Los mensajes de entrada y de salida están firmados y cifrados.
En la petición:- El iniciador utiliza la señal de cifrado pública del intermediario para cifrar el mensaje, y la propia señal de firma privada para firmarlo.
- El intermediario utiliza su propia señal de cifrado privada para descifrar el mensaje y la señal de firma pública del iniciador para verificar la firma.
En la respuesta: - El intermediario utiliza la señal de cifrado pública del iniciador para cifrar el mensaje, y su propia señal de firma privada para firmarlo.
- El iniciador utiliza su propia señal de cifrado privada para descifrar el mensaje y la señal de firma pública del intermediario para verificar la firma.
Nodo SOAPRequest
Este diagrama muestra el intermediario que actúa como un iniciador. Utiliza el nodo
SOAPRequest para realizar una petición síncrona a un proveedor externo (el destinatario). Los mensajes de entrada y de salida están firmado y cifrados. El uso de señales es similar al ejemplo de los nodos SOAP asíncronos que se muestra más arriba.
En la petición:- El intermediario utiliza la señal de cifrado pública del destinatario para cifrar el mensaje, y su propia señal privada para firmar el mensaje.
- El destinatario utiliza su propia señal de cifrado privada para descifrar el mensaje y la firma pública del intermediario para verificar la firma.
En la respuesta: - El destinatario utiliza la señal de cifrado pública del intermediario para cifrar el mensaje, y la propia señal de firma privada para firmar el mensaje.
- El intermediario utiliza su propia señal de cifrado privada para descifrar el mensaje y la señal de firma pública del iniciador para verificar la firma.
Nodos SOAP asíncronos
Este diagrama muestra el intermediario que actúa como un iniciador. Utiliza los nodos SOAP asíncronos para realizar una petición a un proveedor externo (el destinatario). Los mensajes de entrada y de salida están firmados y cifrados.
En la petición:- El intermediario utiliza la señal de cifrado pública del destinatario para cifrar el mensaje, y su propia señal privada para firmar el mensaje.
- El destinatario utiliza su propia señal de cifrado privada para descifrar el mensaje y la firma pública del intermediario para verificar la firma.
En la respuesta: - El destinatario utiliza la señal de cifrado pública del intermediario para cifrar el mensaje, y la propia señal de firma privada para firmar el mensaje.
- El intermediario utiliza su propia señal de cifrado privada para descifrar el mensaje y la señal de firma pública del iniciador para verificar la firma.