Puede utilizar
WebSphere Message Broker,
Tivoli
Federated Identity Manager (TFIM) V6.2 y
Tivoli
Access Manager (TAM) para controlar la autenticación, la correlación y la
autorización.
WebSphere Message Broker realiza una única llamada TFIM
WS-Trust para un nodo de entrada o un nodo
SecurityPEP configurado
con un perfil de seguridad de STS WS-Trust V1.3. Como consecuencia de ello, se debe configurar la
cadena de módulos individual para realizar todas las operaciones de
autenticación, correlación y autorización necesarias.
Cuando se utiliza STS de WS-Trust v1.3 para la autenticación, autorización o
correlación, se realiza una solicitud al servicio de confianza con los
siguientes parámetros, que controlan el proceso de STS. Si utiliza
TFIM V6.2, estos parámetros se utilizan en la selección
de la cadena de módulos TFIM.
Parámetro |
Valor |
RequestType |
El tipo de solicitud se emite al servicio de confianza.
Los valores válidos son:- Emitir
- Este valor puede especificarse cuando la correlación es la única operación
establecida en WS-Trust V1.3 STS
en el perfil de seguridad. No s válida si se especifica
STS WS-Trust V1.3 para
autenticación o autorización.
El valor cualificado de nombre de espacio
es http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue,
que se muestra en TFIM V6.2 como Emitir URI de Oasis.
- Validar
- Este valor debe establecerse cuando el perfil de seguridad también incluye
autenticación o autorización (además de la correlación) para el mismo proveedor
de STS WS-Trust V1.3.
El valor cualificado
del espacio de nombres es
http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate,
que se muestra en TFIM V6.2 como Validar URI de Oasis.
|
Issuer |
Este valor se determina a partir del valor efectivo de la
propiedad IssuedBy del separador
Basic del nodo
SecurityPEP o del separador
Security del nodo de entrada. |
AppliesTo |
Este valor se determina a partir del tipo de nodo:- Nodo MQInput o SCAInput con enlace MQ:
- El IRI de WebSphere MQ de la cola de entrada del nodo; por ejemplo:
wmq://msg/queue/nombre_cola@nombre_gestor_colas
- Nodo HTTPInput, SOAPInput o SOAPAsyncResponse con enlace HTTP:
- El URL del punto final, por ejemplo:
http://myflow/myInputNodePath
- Nodo SecurityPEP con una dirección AppliesTo de WS-Trust predeterminada (en blanco):
- El URN del flujo de mensajes que contiene el nodo, por ejemplo:
urn:/nombre_intermediario.nombre_grupo_ejecución.nombre_flujo
- Nodo SecurityPEP con dirección AppliesTo de WS-Trust establecida en el separador Avanzadas
del nodo:
- El valor de URI configurado en la propiedad. Este valor suele ser el URL
del servicio de destino que se utiliza al invocar una operación de correlación
para obtener la señal necesaria para el siguiente nodo de solicitud, por
ejemplo:
http://remotehost.ibm.com:9080/targetservice
También puede establecer las propiedades
Nombre de servicio AppliesTo y
Tipo de puerto AppliesTo en el separador
Avanzadas del nodo. La solicitud de WS-Trust incluye estos elementos
opcionales sólo cuando se configuran. Estos valores suelen ser nombres de cola válidos, por ejemplo: http://myservice.mycom.com:myservicename
Cuando se establecen estas propiedades en el nodo
SecurityPEP, es necesario configurarlas
en la cadena de módulos TFIM:
|
En esta sección se describe
la configuración de la autorización que puede utilizar para llevar a cabo la operación de
autorización con TFIM V6.2 y TAM.
En el perfil de seguridad,
establezca el punto final TFIM V6.2 para la operación de autorización. Cuando
cree una cadena de módulos para utilizarla en un nodo de entrada o un nodo
SecurityPEP con la seguridad
habilitada, y resuelto por información AppliesTo, debe
incluir el módulo TFIM TAMAuthorizationSTModule para invocar la autorización
TAM.
TAMAuthorizationSTSModule requiere los siguientes atributos de
contexto de usuario universales TFIM STS:
- PrincipalName
- Nombre del usuario que debe autorizarse. Este nombre de usuario debe
existir en el repositorio de usuarios TAM.
- ObjectName
- Nombre del objeto TAM del recurso n el que se debe llevar a cabo la
comprobación de la autorización. Generalmente se deriva de la información
AppliesTo pasada por el gestor de seguridad del flujo de
mensajes del nodo de entrada o del nodo
SecurityPEP con seguridad
habilitada.
- Acción
- Acción TAM que debe autorizarse; por ejemplo, x
(eXecute).
La lista de control de acceso (ACL) de TAM,
que determina la decisión de autorización, se encuentra en el espacio de objetos protegidos
de TAM, en la vía de acceso establecida en el atributo
ObjectName de la entrada de contexto de usuario universal de TFIM STS
para el módulo TAMAuthorizationSTSModule.
El diagrama siguiente muestra la configuración de WebSphere Message Broker, TFIM V6.2 y TAM para habilitar la autenticación, la correlación y autorización de una identidad en un flujo de mensajes:

Los números del diagrama anterior corresponden a la siguiente secuencia de sucesos:
- Un mensaje entra en un flujo de mensajes.
- El intermediario emite una solicitud WS-Trust, con las propiedades
RequestType, Issuer y
AppliesTo definidas.
- TFIM selecciona una cadena de módulos para procesar la solicitud WS-Trust,
basada en las propiedades RequestType,
Issuer y AppliesTo de la solicitud.
- Una cadena de módulos puede realizar la autenticación si incluye un módulo
en modalidad Validar que sea apropiado para el tipo de señal
que se pasa en la solicitud desde el mensaje de entrada del flujo de mensajes. Por ejemplo, una señal Username y Password puede autenticarse utilizando un módulo
UsernameTokenSTSModule.
- La cadena de módulos debe realizar algún tipo de correlación utilizando un
módulo XSLTransformationModule en modalidad de correlación para manipular la
información de identidad, y proporcionar los atributos de contexto necesarios
en el objeto TFIM stsuser para utilizarlos en los módulos subsiguientes.
- Una cadena de módulos puede realizar la autorización en TAM utilizando el módulo
TAMAuthorizationSTSModule.
- El módulo TAMAuthorizationSTSModule realiza la comprobación de autorización
realizando una solicitud a TAM con estas propiedades:
- Action = a (donde a es el atributo
de acción de contexto stsuser). Por ejemplo, x del inglés
eXecute (ejecución) podría establecerse utilizando este código:
<stsuuser:ContextAttributes>
<!-- Action -->
<stsuuser:Attribute name="Action" type="urn:ibm:names:ITFIM:stsmodule:tamazn">
<stsuuser:Value>x</stsuuser:Value>
</stsuuser:Attribute>
</stsuuser:ContextAttributes>
- Action Group = WebService
- Protected Object = NombreObjetoProtegido (donde
NombreObjetoProtegido es el atributo de acción del contexto
stsuser). Por ejemplo, x del inglés
eXecute (ejecución) podría establecerse utilizando este código:
<stsuuser:ContextAttributes>
<!-- ObjectName -->
<stsuuser:Attribute name="ObjectName" type="urn:ibm:names:ITFIM:stsmodule:tamazn">
<stsuuser:Value>NombreObjetoProtegido</stsuuser:Value>
</stsuuser:Attribute>
</stsuuser:ContextAttributes>
Generalmente,
NombreObjetoProtegido se establece de forma condicional a
partir de la información AppliesTo de la solicitud.
- TAM procesa la solicitud de autorización:
- Buscando las listas de control de acceso (ACL) asociadas con el objeto
protegido NombreObjetoProtegido
- Comprobando si las ACL otorgan la acción a del grupo de
acciones WebService al usuario (cuyo nombre se menciona
directa o directamente a través de la pertenencia al grupo indicado).
- Se devuelve la respuesta de WS-Trust al intermediario. Si esta acción es el resultado de una
solicitud de correlación, la respuesta de WS-Trust contiene la señal de identidad
correlacionada.
Para obtener más información sobre cómo configurar TFIM y TAM, consulteCentro de información de IBM® Security Systems.