WebSphere Message Broker proporciona un gestor de seguridad para implementar la seguridad del flujo de mensajes, de forma que el proceso de extremo a extremo de un mensaje a través de un flujo de mensajes sea seguro basándose en una identidad transportada a dicha instancia de mensaje.
Para obtener detalles sobre los proveedores externos soportados y el funcionamiento del gestor de seguridad de flujo de mensajes, consulte Visión general de la seguridad de flujo de mensajes. Para obtener información sobre los tipos de señal que admiten los nodos SOAP y los proveedores de seguridad externa, consulte Identidad.
Cuando el flujo de mensajes es un servicio web implementado utilizando Nodos SOAP y la identidad debe tomarse de las cabeceras SOAP de WS-Security, los nodos SOAP son Policy Enforcement Point (PEP) y el proveedor externo definido por los Perfiles de seguridad es el Policy Decision Point (PDP).
Como alternativa a la seguridad del flujo de mensajes y a un PDP externo, el almacén de confianza del intermediario se puede utilizar como PDP local para la autenticación de certificados X.509. Para la firma y el cifrado de WS-Security utilizando solamente la prestación del intermediario local, debe configurar el almacén de confianza del intermediario. Para obtener detalles, consulte Ver y establecer propiedades de ejecución del almacén de claves y el almacén de confianza a nivel de intermediario o Ver y establecer propiedades de ejecución del almacén de claves y el almacén de confianza a nivel de grupo de ejecución.
Se da soporte a Kerberos basado en WS-Security en los nodos. Cuando se utiliza Kerberos para la seguridad, el proceso de WS-Security de los nodos SOAP enlaza directamente con la infraestructura de Kerberos del host. El host del intermediario debe configurarse para Kerberos, proporcionando un archivo krb.conf para definir el KDC (Key Distribution Center) de Kerberos y el dominio predeterminado. También se debe configurar un archivo keytab Kerberos. Para obtener más información sobre la configuración de Kerberos, consulte la documentación de Kerberos del host.