Para crear un perfil de seguridad que utiliza un servidor de
señales de seguridad (STS) compatible con WS-Trust V1.3, puede utilizar el
mandato
mqsicreateconfigurableservice
estableciendo el parámetro de configuración en el URL completo del STS.
El URL debe estar formado por el esquema de transporte, el nombre de host, el
puerto y la vía de acceso. Para el punto final TFIM V6.2 WS-Trust V1.3, la vía de acceso es
/TrustServerWST13/services/RequestSecurityToken.
Por ejemplo:
http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
Para crear un perfil de seguridad que utiliza WS-Trust v1.3 para
correlación, especifique este mandato: mqsicreateconfigurableservice nombre_intermediario -c SecurityProfiles
-o nombre_perfil -n mapping,mappingConfig
-v "WS-Trust v1.3 STS",http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
Si el URL especifica una dirección que empieza con
https://, se utiliza una conexión segura SSL para las
solicitudes al servidor WS-Trust v1.3. Por ejemplo, para crear un perfil de seguridad que utilice una conexión HTTPS
con WS-Trust v1.3 para la correlación, entre el mandato siguiente:
mqsicreateconfigurableservice nombre_intermediario -c SecurityProfiles
-o nombre_perfil -n mapping,mappingConfig
-v "WS-Trust v1.3 STS",https://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken
Además de especificar el URL de perfil de seguridad como una dirección que empieza por
https://, puede configurar los siguientes parámetros avanzados, estableciendo variables de entorno de intermediario:
- MQSI_STS_SSL_PROTOCOL
- La versión del protocolo SSL a utilizar. Los valores válidos son:
El valor inicial es SSLv3.
- MQSI_STS_SSL_ALLOWED_CIPHERS
- Lista separada por espacios de los códigos de cifrado que se pueden utilizar.
Para obtener una lista de todas las suites de cifrado que están
soportadas por WebSphere Message Broker,
consulte la información del producto
Java™
correspondiente a su sistema operativo. Para los sistemas operativos que utilizan IBM® Java, consulte el Apéndice A de la
Guía de JSSE2 de IBM: http://www.ibm.com/developerworks/java/jdk/security/60/secguides/jsse2Docs/JSSE2RefGuide.html
- MQSI_STS_REQUEST_TIMEOUT
- El tiempo de espera de solicitud STS especificada en segundos. El valor inicial es 100. Para obtener información sobre cómo proporcionar variables de entorno para el intermediario, consulte
Configuración de un entorno de mandatos.
Si se selecciona el STS WS-Trust v1.3 para más de una operación (por
ejemplo, para la autenticación y la correlación), el URL de servidor WS-Trust
v1.3 debe ser idéntico para todas las operaciones y, por consiguiente, sólo se
especifica una vez.
El ejemplo siguiente crea un perfil de seguridad que utiliza TFIM v6.2 para
la autenticación, correlación y autorización:
mqsicreateconfigurableservice MYBROKER -c SecurityProfiles -o MyWSTrustProfile
-n authentication,mapping,authorization,propagation,mappingConfig
-v "WS-Trust v1.3 STS","WS-Trust v1.3 STS","WS-Trust v1.3 STS",TRUE,http://stsserver.mycompany.com:9080/TrustServerWST13/services/RequestSecurityToken