Utilice el nodo SecurityPEP en un flujo de mensajes para invocar el gestor de seguridad de flujos de mensajes en cualquier punto del flujo de mensajes.
Este tema contiene las secciones siguientes:
El nodo SecurityPEP permite invocar el gestor de seguridad de flujos de mensajes en cualquier punto del flujo de mensajes entre un nodo de entrada y un nodo (o solicitud) de salida.
Las seguridad del flujo de mensajes permite al intermediario realizar el proceso de extremo a extremo de una identidad o señal de seguridad transportada en un mensaje a través de un flujo de mensajes. Esta posibilidad permite configurar la seguridad de un flujo de mensajes, pudiendo controlar el acceso basándose en la identidad o la señal de seguridad asociada con el mensaje y proporcionando un mecanismo de seguridad que es independiente del tipo de transporte y del formato del mensaje.
El nodo SecurityPEP permite invocar el gestor de seguridad aun cuando los nodos de entrada del flujo de mensajes no den soporte a la seguridad de flujo de mensajes (por ejemplo, nodos TCPIPClientInput o SAPInput). Si utiliza nodos de entrada que no dan soporte a la seguridad de flujo de mensajes, o si requiere algún tipo de proceso o de direccionamiento del mensaje antes de poder identificar la operación de seguridad necesaria, puede utilizar el nodo SecurityPEP para invocar la seguridad del flujo de mensajes.
El nodo SecurityPEP también permite invocar distintos aspectos de la seguridad en distintos puntos del flujo de mensajes. Por ejemplo, puede ser necesario que se produzca autenticación en un nodo de entrada habilitado para seguridad, mientras que la correlación y autorización de señales puede ser necesaria después de algún tipo de lógica en el flujo de mensajes según determine la operación empresarial necesaria. De forma alternativa, puede tener un flujo de mensajes con varios nodos de solicitud que requieran nodos SecurityPEP para habilitar la correlación de un tipo de señal de seguridad con otro tipo para que los nodos de solicitud puedan propagarlo.
Puede utilizar las propiedades del nodo para especificar la ubicación de las señales de seguridad en el árbol de mensajes. Estas propiedades contienen una expresión XPath o una vía de acceso ESQL que define la ubicación de las señales de seguridad en el árbol de mensajes. El gestor de seguridad del flujo de mensajes extrae esta información del mensaje y la envía al punto de decisión de política (PDP) externo, que utiliza la información para autenticación, autorización o correlación. El PDP que debe utilizase se configura en el perfil de seguridad asociado.
De forma alternativa, puede configurar el nodo SecurityPEP para utilizar las señales actuales, que ya se han extraído a través de un nodo de entrada o un nodo SecurityPEP en sentido ascendente, y se ha almacenado en la carpeta Propiedades. Cuando el nodo se configura con el tipo de señal como Señal actual, si existe una señal correlacionada, se utiliza esta señal; en caso contrario, se utiliza la señal de origen.
El nodo SecurityPEP debe estar asociado con un perfil de seguridad, que especifica las operaciones de seguridad que el nodo debe aplicar, incluidas la autenticación, la autorización y la correlación. Si no existe ningún perfil de seguridad asociado con el nodo, el nodo propaga el mensaje al terminal de salida sin aplicar seguridad. El administrador del intermediario configura los perfiles antes de desplegar un flujo de mensajes, y el gestor de seguridad accede a estos perfiles en tiempo de ejecución. Si se especifica un perfil de seguridad en un flujo de mensajes o en un nodo, el perfil debe estar disponible cuando se despliega el flujo de mensajes; en caso contrario, se produce un error de despliegue.
El perfil de seguridad asociado también permite especificar el proveedor de seguridad externo que debe utilizarse (LDAP, WS-Trust V1.3 STS o TFIM V6.1), y configurar cómo debe utilizarse. El perfil de seguridad se asocia con el nodo SecurityPEP (o con el flujo de mensajes propietario) durante el despliegue, editando la propiedad Perfil de seguridad mediante el Editor de archivador de intermediario.
Para obtener información sobre los tipos de señal de seguridad soportados por el nodo SecurityPEP, consulte Identidad.
El nodo SecurityPEP sólo propaga mensajes al terminal de salida si todas las operaciones de seguridad configuradas finalizan correctamente. Los mensajes de entrada se propagan sin ningún tipo de modificación, salvo el llenado de la identidad de origen y la identidad correlacionada (si existe).
Si alguna de las operaciones de seguridad configuradas no es satisfactoria, el nodo SecurityPEP emite una excepción de seguridad dentro de una excepción recuperable (a diferencia de los nodos de entrada con seguridad habilitada), que invoca el manejo de errores proporcionado con el flujo de mensajes. Esto permite capturar y procesar la excepción. De forma alternativa, puede manejar las excepciones de nodo SecurityPEP conectando el terminal de anomalías del nodo con una lógica de proceso de anomalías de seguridad específica. Cuando una operación de seguridad falla, los mensajes de entrada no se modifican, salvo el llenado de la lista de excepciones.
El nodo SecurityPEP se encuentra en el cajón Seguridad de la paleta, y se representa en el WebSphere Message Broker Toolkit mediante este icono:
Puede ver información sobre los ejemplos sólo cuando utilice el Information Center que está integrado en WebSphere Message Broker Toolkit o el Information Center en línea. Puede ejecutar ejemplos sólo cuando utilice el Information Center que está integrado en WebSphere Message Broker Toolkit.
Cuando haya colocado una instancia del nodo SecurityPEP en un flujo de mensajes, podrá configurarlo; consulte el apartado Configurar un nodo de flujo de mensajes. Las propiedades del nodo se visualizan en la vista Propiedades.
Todas las propiedades obligatorias que no tienen un valor predeterminado aparecen con un asterisco.
Configure el nodo SecurityPEP:
Si se selecciona Señal actual, los campos Ubicación de señal de identidad y Ubicación de contraseña de identidad se inhabilitan.
Esta propiedad está inhabilitada si la propiedad Tipo de señal de identidad se establece en Señal actual.
Esta opción sólo se puede establecer si el Tipo de señal de identidad se establece en NombreUsuario + Contraseña.
Esta propiedad está inhabilitada si la propiedad Tipo de señal de identidad se establece en Señal actual.
Si el perfil de seguridad asociado especifica un proveedor de STS WS-Trust v1.3 (por ejemplo, TFIM V6.2) y este campo se deja en blanco, no se incluye ningún elemento WS-Trust Issuer.Address en la solicitud WS-Trust.
Puede especificar este valor como una referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.),
De forma predeterminada, este valor es un URI para el nombre completo del flujo de mensajes, con el formato uri:nombre intermediario.nombre grupo ejecución.nombre flujo mensajes
Puede especificar este valor como una referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.),
De forma predeterminada, este valor se deja en blanco, lo que significa que la solicitud WS-Trust no incluirá este elemento.
Puede especificar este valor como una referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.),
Para obtener más información, consulte Visión general de la seguridad de flujo de mensajes y Configuración de la seguridad de flujo de mensajes.
Los terminales del nodo SecurityPEP se describen en la tabla siguiente.
Terminal | Descripción |
---|---|
Entrada | Terminal de entrada que acepta un mensaje para el proceso. |
Salida | Terminal de salida al que se direcciona el mensaje si el nodo SecurityPEP está asociado a un perfil de seguridad y todas las operaciones de seguridad configuradas finalizan satisfactoriamente. Los elementos de identidad de la carpeta de propiedades propagadas se actualizan mediante las operaciones de seguridad configuradas. |
Anomalía | Terminal de salida al que se direcciona el mensaje si existe una anomalía en el nodo; por ejemplo, si las operaciones de seguridad configuradas devuelven una excepción. |
Las tablas siguientes describen las propiedades del nodo. La columna con la cabecera O indica si la propiedad es obligatoria (marcada con un asterisco si tiene que entrar un valor cuando no hay definido ningún valor predeterminado); la columna con la cabecera C indica si la propiedad es configurable (puede cambiar el valor cuando añade el flujo de mensajes al archivo bar para desplegarlo).
En la tabla siguiente se describen las propiedades de descripción del nodo SecurityPEP.
Propiedad | M | C | Valor predeterminado | Descripción |
---|---|---|---|---|
Nombre de nodo | No | No | El tipo de nodo, SecurityPEP | El nombre del nodo. |
Descripción corta | No | No | Descripción breve del nodo. | |
Descripción larga | No | No | Texto que describe el propósito del nodo en el flujo de mensajes. |
En la tabla siguiente se describen las propiedades básicas del nodo SecurityPEP. Establezca los valores para estas propiedades con el fin de controlar la extracción de una identidad de un mensaje (cuando un perfil de seguridad se asocia al nodo). Para obtener más información sobre estas propiedades, consulte Identidad, Configuración de la extracción de una identidad o una señal de seguridad, Visión general de la seguridad de flujo de mensajes y Configuración de la seguridad de flujo de mensajes.
Propiedad | M | C | Valor predeterminado | Descripción |
---|---|---|---|---|
Tipo de señal de identidad | No | No | Ninguno | Esta propiedad especifica el tipo de señal de identidad existente en el mensaje de entrada. Los valores válidos son:
También puede especificar el valor de Nombre de usuario y contraseña para validar un RACF PassTicket mediante un WS-Trust V1.3 STS como TFIM V6.2. |
Ubicación de señal de identidad | No | No | Ninguno | Esta propiedad indica en qué parte del mensaje se puede encontrar la identidad o señal de seguridad. La ubicación se especifica como referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.), |
Ubicación de contraseña de identidad | No | No | Ninguno | Esta propiedad indica en qué parte del mensaje se puede encontrar la contraseña.
La ubicación se especifica como
referencia de campo ESQL, una expresión
XPath o un literal de serie. Si utiliza un literal de serie,
debe especificarlo entre comillas simples y no puede contener ningún punto
(.), Esta propiedad se puede establecer solamente si se ha establecido Tipo de señal de identidad en Nombre de usuario y contraseña. |
Ubicación de emisor de identidad | No | No | Ninguno | Esta propiedad especifica una expresión XPath o una vía
de acceso ESQL que describe el emisor de la identidad o la señal de seguridad.
La ubicación se especifica como
referencia de campo ESQL, una expresión
XPath o un literal de serie. Si utiliza un literal de serie,
debe especificarlo entre comillas simples y no puede contener ningún punto
(.), Esta opción se utiliza cuando el perfil de seguridad asociado especifica un proveedor de STS WS-Trust V1.3 (por ejemplo, TFIM V6.2) para autenticación, correlación o autorización. En este caso, cuando este campo se deja en blanco, se envía un elemento WS-Trust Issuer.Address. |
En la tabla siguiente se describen las propiedades avanzadas del nodo SecurityPEP. Estas propiedades sólo se utilizan si el perfil de seguridad especifica un STS WS-Trust V1.3 (por ejemplo, TFIM V6.2).
Propiedad | M | C | Valor predeterminado | Descripción |
---|---|---|---|---|
Dirección a la que se aplica WS-Trust | No | Sí | No se ha establecido | Esta propiedad establece la dirección para el elemento
/wst:RequestSecurityToken/wsp:AppliesTo del mensaje
WS-Trust. Utilice esta propiedad para proporcionar el URI del servicio para el
que debe validarse o emitirse la señal de seguridad. Este valor puede especificarse como referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.), De forma predeterminada, este valor es un URI para el nombre completo del flujo de mensajes, con el formato uri:nombre intermediario.nombre grupo ejecución.nombre flujo mensajes. |
Servicio al que se aplica WS-Trust | No | Sí | No se ha establecido | Esta propiedad establece el nombre de servicio para el
elemento /wst:RequestSecurityToken/wsp:AppliesTo del
mensaje WS-Trust. Utilice esta propiedad para proporcionar el nombre del
servicio para el que debe validarse o emitirse la señal de seguridad. Este valor puede especificarse como referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.), De forma predeterminada, este valor se deja en blanco, lo que significa que la solicitud WS-Trust no incluye este elemento. |
PortType al que se aplica WS-Trust | No | Sí | No se ha establecido | Esta propiedad establece el tipo de puerto para el elemento
/wst:RequestSecurityToken/wsp:AppliesTo del mensaje
WS-Trust. Utilice esta propiedad para proporcionar el tipo de puerto del
servicio para el que debe validarse o emitirse la señal de seguridad. Este valor puede especificarse como referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.), predeterminada, este valor se deja en blanco, lo que significa que la solicitud WS-Trust no incluye este elemento. |
Propiedad | O | C | Valor predeterminado | Descripción |
---|---|---|---|---|
Sucesos | No | No | Ninguno | Los sucesos que se han definido para el nodo se visualizan en este separador. De forma predeterminada, no se define ningún suceso de supervisión en ningún nodo en un flujo de mensajes. Utilice Añadir, Editar y
Suprimir para crear, cambiar o suprimir sucesos de supervisión para el nodo; consulte Configuración de orígenes de sucesos de supervisión utilizando propiedades de supervisión para obtener detalles. Puede habilitar e inhabilitar sucesos que se muestran aquí seleccionando o deseleccionando el recuadro Habilitado. |