WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Autenticación, correlación y autorización con TFIM V6.2 y TAM

Puede utilizar WebSphere Message Broker, Tivoli Federated Identity Manager (TFIM) V6.2 y Tivoli Access Manager (TAM) para controlar la autenticación, la correlación y la autorización.

WebSphere Message Broker realiza una única llamada TFIM WS-Trust para un nodo de entrada o un nodo SecurityPEP configurado con un perfil de seguridad de STS WS-Trust V1.3. Como consecuencia de ello, se debe configurar la cadena de módulos individual para realizar todas las operaciones de autenticación, correlación y autorización necesarias.

Cuando se utiliza STS de WS-Trust v1.3 para la autenticación, autorización o correlación, se realiza una solicitud al servicio de confianza con los siguientes parámetros, que controlan el proceso de STS. Si utiliza TFIM V6.2, estos parámetros se utilizan en la selección de la cadena de módulos TFIM.
Parámetro Valor
RequestType El tipo de solicitud se emite al servicio de confianza. Los valores válidos son:
Emitir
Este valor puede especificarse cuando la correlación es la única operación establecida en WS-Trust V1.3 STS en el perfil de seguridad. No s válida si se especifica STS WS-Trust V1.3 para autenticación o autorización.

El valor cualificado de nombre de espacio es http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue, que se muestra en TFIM V6.2 como Emitir URI de Oasis.

Validar
Este valor debe establecerse cuando el perfil de seguridad también incluye autenticación o autorización (además de la correlación) para el mismo proveedor de STS WS-Trust V1.3.

El valor cualificado del espacio de nombres es http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate, que se muestra en TFIM V6.2 como Validar URI de Oasis.

Issuer Este valor se determina a partir del valor efectivo de la propiedad IssuedBy del separador Basic del nodo SecurityPEP o del separador Security del nodo de entrada.
AppliesTo Este valor se determina a partir del tipo de nodo:
Nodo MQInput o SCAInput con enlace MQ:
El IRI de WebSphere MQ de la cola de entrada del nodo; por ejemplo:
wmq://msg/queue/nombre_cola@nombre_gestor_colas
Nodo HTTPInput, SOAPInput o SOAPAsyncResponse con enlace HTTP:
El URL del punto final, por ejemplo:
http://myflow/myInputNodePath
Nodo SecurityPEP con una dirección AppliesTo de WS-Trust predeterminada (en blanco):
El URN del flujo de mensajes que contiene el nodo, por ejemplo:
urn:/nombre_intermediario.nombre_grupo_ejecución.nombre_flujo
Nodo SecurityPEP con dirección AppliesTo de WS-Trust establecida en el separador Avanzadas del nodo:
El valor de URI configurado en la propiedad. Este valor suele ser el URL del servicio de destino que se utiliza al invocar una operación de correlación para obtener la señal necesaria para el siguiente nodo de solicitud, por ejemplo:
http://remotehost.ibm.com:9080/targetservice
También puede establecer las propiedades Nombre de servicio AppliesTo y Tipo de puerto AppliesTo en el separador Avanzadas del nodo. La solicitud de WS-Trust incluye estos elementos opcionales sólo cuando se configuran. Estos valores suelen ser nombres de cola válidos, por ejemplo:
http://myservice.mycom.com:myservicename
Cuando se establecen estas propiedades en el nodo SecurityPEP, es necesario configurarlas en la cadena de módulos TFIM:
  • En las propiedades TFIM de nombre de servicio y tipo de puerto, la información que se encuentra a la izquierda de los dos puntos debe coincidir con el URI del espacio de nombres del espacio de nombres WS-Addressing utilizado para los elementos PortType y ServiceName de la solicitud WS-Trust establecida por el intermediario, que es:
    http://www.w3.org/2005/08/addressing
  • La información a la derecha de los dos puntos en las propiedades TFIM de nombre de servicio y tipo de puerto deben coincidir con el valor configurado en el nodo SecurityPEP. También puede configurar una expresión regular en TFIM para especificar una coincidencia.

En esta sección se describe la configuración de la autorización que puede utilizar para llevar a cabo la operación de autorización con TFIM V6.2 y TAM.

En el perfil de seguridad, establezca el punto final TFIM V6.2 para la operación de autorización. Cuando cree una cadena de módulos para utilizarla en un nodo de entrada o un nodo SecurityPEP con la seguridad habilitada, y resuelto por información AppliesTo, debe incluir el módulo TFIM TAMAuthorizationSTModule para invocar la autorización TAM.

TAMAuthorizationSTSModule requiere los siguientes atributos de contexto de usuario universales TFIM STS:
PrincipalName
Nombre del usuario que debe autorizarse. Este nombre de usuario debe existir en el repositorio de usuarios TAM.
ObjectName
Nombre del objeto TAM del recurso n el que se debe llevar a cabo la comprobación de la autorización. Generalmente se deriva de la información AppliesTo pasada por el gestor de seguridad del flujo de mensajes del nodo de entrada o del nodo SecurityPEP con seguridad habilitada.
Acción
Acción TAM que debe autorizarse; por ejemplo, x (eXecute).

La lista de control de acceso (ACL) de TAM, que determina la decisión de autorización, se encuentra en el espacio de objetos protegidos de TAM, en la vía de acceso establecida en el atributo ObjectName de la entrada de contexto de usuario universal de TFIM STS para el módulo TAMAuthorizationSTSModule.

El diagrama siguiente muestra la configuración de WebSphere Message Broker, TFIM V6.2 y TAM para habilitar la autenticación, la correlación y autorización de una identidad en un flujo de mensajes:

Diagrama que muestra el flujo de interacción entre Message Broker, TFIM V6.2 y TAM.

Los números del diagrama anterior corresponden a la siguiente secuencia de sucesos:
  1. Un mensaje entra en un flujo de mensajes.
  2. El intermediario emite una solicitud WS-Trust, con las propiedades RequestType, Issuer y AppliesTo definidas.
  3. TFIM selecciona una cadena de módulos para procesar la solicitud WS-Trust, basada en las propiedades RequestType, Issuer y AppliesTo de la solicitud.
  4. Una cadena de módulos puede realizar la autenticación si incluye un módulo en modalidad Validar que sea apropiado para el tipo de señal que se pasa en la solicitud desde el mensaje de entrada del flujo de mensajes. Por ejemplo, una señal Username y Password puede autenticarse utilizando un módulo UsernameTokenSTSModule.
  5. La cadena de módulos debe realizar algún tipo de correlación utilizando un módulo XSLTransformationModule en modalidad de correlación para manipular la información de identidad, y proporcionar los atributos de contexto necesarios en el objeto TFIM stsuser para utilizarlos en los módulos subsiguientes.
  6. Una cadena de módulos puede realizar la autorización en TAM utilizando el módulo TAMAuthorizationSTSModule.
  7. El módulo TAMAuthorizationSTSModule realiza la comprobación de autorización realizando una solicitud a TAM con estas propiedades:
    • Action = a (donde a es el atributo de acción de contexto stsuser). Por ejemplo, x del inglés eXecute (ejecución) podría establecerse utilizando este código:
      <stsuuser:ContextAttributes>
          <!-- Action -->
          <stsuuser:Attribute name="Action" type="urn:ibm:names:ITFIM:stsmodule:tamazn">
            <stsuuser:Value>x</stsuuser:Value>
          </stsuuser:Attribute>
        </stsuuser:ContextAttributes>
    • Action Group = WebService
    • Protected Object = NombreObjetoProtegido (donde NombreObjetoProtegido es el atributo de acción del contexto stsuser). Por ejemplo, x del inglés eXecute (ejecución) podría establecerse utilizando este código:
      <stsuuser:ContextAttributes>
          <!-- ObjectName -->
          <stsuuser:Attribute name="ObjectName" type="urn:ibm:names:ITFIM:stsmodule:tamazn">
            <stsuuser:Value>NombreObjetoProtegido</stsuuser:Value>
          </stsuuser:Attribute>
        </stsuuser:ContextAttributes>
      Generalmente, NombreObjetoProtegido se establece de forma condicional a partir de la información AppliesTo de la solicitud.
  8. TAM procesa la solicitud de autorización:
    1. Buscando las listas de control de acceso (ACL) asociadas con el objeto protegido NombreObjetoProtegido
    2. Comprobando si las ACL otorgan la acción a del grupo de acciones WebService al usuario (cuyo nombre se menciona directa o directamente a través de la pertenencia al grupo indicado).
  9. Se devuelve la respuesta de WS-Trust al intermediario. Si esta acción es el resultado de una solicitud de correlación, la respuesta de WS-Trust contiene la señal de identidad correlacionada.

Para obtener más información sobre cómo configurar TFIM y TAM, consulteCentro de información de IBM® Security Systems.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:01:37


Tema de conceptoTema de concepto | Versión 8.0.0.5 | bp28100_