Puede invocar el gestor de seguridad de flujos de mensajes configurando un nodo de entrada habilitado con seguridad.
En el diagrama siguiente se muestra un flujo de mensajes de ejemplo y se ofrece una visión general de la secuencia de sucesos que se producen cuando un nodo de entrada con seguridad habilitada recibe un mensaje de entrada en el flujo de mensajes:
Puede crear perfiles de seguridad utilizando el mandato mqsicreateconfigurableservice o un editor en WebSphere Message Broker Explorer. A continuación, utilice el editor de archivador de intermediarios para configurar el perfil de seguridad en un nodo individual o en el flujo de mensajes completo. Si asocia el perfil de seguridad al flujo de mensajes, el perfil de seguridad se aplicará a todos los nodos de entrada y salida con seguridad habilitada y a los nodos SecurityPEP del flujo de mensajes. Sin embargo, un perfil de seguridad que esté asociado a un nodo individual tendrá prioridad antes un perfil de seguridad que esté asociado al flujo de mensajes. Se proporciona un perfil de seguridad predefinido, denominado Propagación determinada, para establecer la propagación de la identidad. Para establecer de forma explícita que no haya seguridad en un nodo, establezca el perfil de seguridad en Sin seguridad.
Si necesita un nodo SOAPInput para utilizar la identidad en la cabecera WS-Security (en lugar de una identidad de transporte subyacente), también debe definir y especificar un conjunto de políticas apropiado y enlaces para el perfil de señales adecuados. Para obtener más información, consulte Conjuntos de políticas.
Para los nodos de entrada MQ, HTTP o SCA, se utiliza la página de propiedades Seguridad para configurar la extracción de la identidad. Así se toma el valor predeterminado Valor predeterminado del transporte. Por ejemplo, un nodo HTTPInput extrae un nombre de usuario y una contraseña de la cabecera BasicAuth de HTTP. La página de propiedades Seguridad permite que el tipo de señal de identidad y su ubicación se configuren de forma explícita para controlar la extracción. Esta información de identidad de origen puede estar en una cabecera de mensaje, en el cuerpo del mensaje o en ambos lugares.
Para obtener información sobre las señales que admite cada nodo, consulte Identidad.
Se proporciona una memoria caché de seguridad para el resultado de autenticación, lo que permite que los mensajes posteriores (con las mismas credenciales) que lleguen al flujo de mensajes se completen con el resultado copiado en la memoria caché, si no ha caducado.
Los proveedores de seguridad que Message Broker admite para la correlación de identidad son servidores de señales de seguridad compatibles con WS-Trust V1.3 (como por ejemplo TFIM V6.2) y TFIM V6.1.
Se proporciona una memoria caché de seguridad para el resultado de la correlación de identidad.
Si lo prefiere, puede utilizar un nodo SecurityPEP en cualquier punto del flujo de mensajes para correlacionar la identidad que se ha autenticado en el nodo de entrada con seguridad habilitada. Para obtener más información, consulte Invocación de la seguridad del flujo de mensajes utilizando un nodo SecurityPEP.
Los proveedores de seguridad que Message Broker admite para su autenticación son servidores de señales de seguridad LDAP compatibles con WS-Trust V1.3 (como por ejemplo TFIM V6.2) y TFIM V6.1.
Se proporciona una memoria caché de seguridad para el resultado de autorización.
Si lo prefiere, puede utilizar un nodo SecurityPEP en cualquier punto del flujo de mensajes para autorizar la identidad que se ha autenticado en el nodo de entrada con seguridad habilitada. Para obtener más información, consulte Invocación de la seguridad del flujo de mensajes utilizando un nodo SecurityPEP.
Cuando se devuelve una excepción de seguridad al nodo de entrada con seguridad habilitada, se lleva a cabo la gestión de transporte pertinente y finaliza la transacción del flujo de mensajes. Por ejemplo, un nodo HTTPInput devuelve una cabecera HTTP con un código de respuesta HTTP 401, sin propagarse a ningún terminal de salida. Un nodo SOAPInput devuelve un error SOAP, indicando la excepción de seguridad. Si lo prefiere, si la propiedad Tratar las excepciones de seguridad como excepciones normales se ha establecido en el nodo de entrada con seguridad habilitada, se propagará una excepción de seguridad al terminal de anomalías del nodo. El nodo de entrada con seguridad habilitada se propaga al terminal de salida solamente si todas las operaciones configuradas en el perfil de seguridad asociado se han completado satisfactoriamente.
Si el perfil de seguridad indica que la propagación es necesaria, se utiliza la identidad correlacionada. Si no se establece la identidad correlacionada, o si tiene un tipo de señal que no recibe soporte del nodo, se utilizará la identidad de origen. Si no se establece la identidad, o si la identidad correlacionado o de origen tiene un tipo de señal admitido por el nodo, se devuelve al nodo una excepción de seguridad.
Los nodos SOAP también necesitan el conjunto de políticas y enlaces correspondientes para que el perfil de señales se asocie al nodo.
Si desea incluir una señal de seguridad en el mensaje que se emite a un nodo de salida, y si el nodo de salida no puede propagar ese tipo de señal, puede utilizar un nodo Compute (antes del nodo de salida) para colocar la señal del árbol de propiedades en la ubicación de mensajes relevante.
Para obtener información sobre las señales que admite cada nodo, consulte Propagación de la señal de seguridad e identidad.