Para permitir que un flujo de mensajes
realice la propagación de identidad, los nodos de entrada deben extraer la
identidad y el nodo de salida debe propagarla.
Antes de empezar:Para poder configurar un flujo de mensajes a fin de realizar la propagación de identidad, debe comprobar que existe un perfil de seguridad apropiado o crear un nuevo perfil de seguridad. Consulte
el apartado Creación de un perfil de seguridad.
Un nodo de entrada extrae señales de seguridad si
se configura con un perfil de seguridad durante el despliegue. Un nodo de salida propaga una identidad
si se ha configurado con un perfil de seguridad que permite la propagación
en el momento de realizar el despliegue.Para permitir que un flujo de mensajes realice la propagación de identidad, complete los pasos siguientes.
Utilizando el editor de Archivador de intermediario, seleccione un perfil de seguridad que tenga habilitada la propagación de identidad. Puede utilizar el perfil
de propagación predeterminado, que es perfil predefinido que sólo solicita
la propagación de identidad. Puede establecer un perfil de seguridad en un flujo de mensajes o en nodos de
entrada y salida individuales. Si no se ha establecido ningún perfil de seguridad para los
nodos de entrada y salida, se hereda el valor del valor del flujo de mensajes.
- En la Vista Desarrollo de intermediario, pulse el botón derecho del
ratón en el archivo BAR y luego pulse .
- Pulse el separador Gestionar y configurar.
- Pulse el flujo o el nodo en el que desea establecer el perfil de seguridad. Las propiedades que puede configurar para el flujo de mensajes para el nodo se visualizan en la vista Propiedades.
- En el campo Nombre de perfil de seguridad, seleccione
un perfil de seguridad que tenga habilitada la propagación de identidad.
- Guarde el archivo BAR.
Para un nodo SOAPRequest o SOAPAsyncRequest, puede definir un conjunto de políticas apropiado y enlaces para especificar cómo se coloca la identidad propagada en la cabecera WS-Security (en lugar de las cabeceras de transporte subyacentes). Para obtener más información, consulte
Conjuntos de políticas.
En los nodos SOAPRequest y SOAPAsyncRequest, solamente se pueden propagar las señales NombreUsuario y SAML. Sin embargo, en los nodos SOAPRequest y SOAPAsyncRequest con un conjunto de políticas y enlaces Kerberos, se puede propagar una señal NombreUsuario y su contraseña al nodo con el fin de proporcionar las credenciales de cliente Kerberos.
Para el nodo SAPRequest, sólo puede propagar el nombre de usuario y la contraseña. Para los nodos CICSRequest y IMSRequest, puede propagar el nombre de usuario, o bien el nombre de usuario y la contraseña.
Si la identidad de mensaje
no contiene suficiente información para la propagación de identidad, puede utilizar
cualquiera de los métodos siguientes para adquirir la información necesaria:
- Tome la información del cuerpo del mensaje. Por ejemplo, si el mensaje
viene de WebSphere MQ
sólo con una señal de nombre de usuario y la salida es un nodo de solicitud HTTP que
necesita una señal de Nombreusuario + Contraseña, es posible que la contraseña esté presente
en el cuerpo del mensaje de entrada. Para obtener más información, consulte
Configuración de la extracción de una identidad o una señal de seguridad.
- Configure un correlacionador de identidad utilizando TFIM. Para obtener más información, consulte la Information Center de IBM® Tivoli Federated
Identity Manager.
- Utilice ESQL o
Java™
para establecer los campos de identidad correlacionada en el árbol de propiedades.