WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Nodo SecurityPEP

Utilice el nodo SecurityPEP en un flujo de mensajes para invocar el gestor de seguridad de flujos de mensajes en cualquier punto del flujo de mensajes.

Este tema contiene las secciones siguientes:

Finalidad

El nodo SecurityPEP permite invocar el gestor de seguridad de flujos de mensajes en cualquier punto del flujo de mensajes entre un nodo de entrada y un nodo (o solicitud) de salida.

Las seguridad del flujo de mensajes permite al intermediario realizar el proceso de extremo a extremo de una identidad o señal de seguridad transportada en un mensaje a través de un flujo de mensajes. Esta posibilidad permite configurar la seguridad de un flujo de mensajes, pudiendo controlar el acceso basándose en la identidad o la señal de seguridad asociada con el mensaje y proporcionando un mecanismo de seguridad que es independiente del tipo de transporte y del formato del mensaje.

El nodo SecurityPEP permite invocar el gestor de seguridad aun cuando los nodos de entrada del flujo de mensajes no den soporte a la seguridad de flujo de mensajes (por ejemplo, nodos TCPIPClientInput o SAPInput). Si utiliza nodos de entrada que no dan soporte a la seguridad de flujo de mensajes, o si requiere algún tipo de proceso o de direccionamiento del mensaje antes de poder identificar la operación de seguridad necesaria, puede utilizar el nodo SecurityPEP para invocar la seguridad del flujo de mensajes.

El nodo SecurityPEP también permite invocar distintos aspectos de la seguridad en distintos puntos del flujo de mensajes. Por ejemplo, puede ser necesario que se produzca autenticación en un nodo de entrada habilitado para seguridad, mientras que la correlación y autorización de señales puede ser necesaria después de algún tipo de lógica en el flujo de mensajes según determine la operación empresarial necesaria. De forma alternativa, puede tener un flujo de mensajes con varios nodos de solicitud que requieran nodos SecurityPEP para habilitar la correlación de un tipo de señal de seguridad con otro tipo para que los nodos de solicitud puedan propagarlo.

Puede utilizar las propiedades del nodo para especificar la ubicación de las señales de seguridad en el árbol de mensajes. Estas propiedades contienen una expresión XPath o una vía de acceso ESQL que define la ubicación de las señales de seguridad en el árbol de mensajes. El gestor de seguridad del flujo de mensajes extrae esta información del mensaje y la envía al punto de decisión de política (PDP) externo, que utiliza la información para autenticación, autorización o correlación. El PDP que debe utilizase se configura en el perfil de seguridad asociado.

De forma alternativa, puede configurar el nodo SecurityPEP para utilizar las señales actuales, que ya se han extraído a través de un nodo de entrada o un nodo SecurityPEP en sentido ascendente, y se ha almacenado en la carpeta Propiedades. Cuando el nodo se configura con el tipo de señal como Señal actual, si existe una señal correlacionada, se utiliza esta señal; en caso contrario, se utiliza la señal de origen.

El nodo SecurityPEP debe estar asociado con un perfil de seguridad, que especifica las operaciones de seguridad que el nodo debe aplicar, incluidas la autenticación, la autorización y la correlación. Si no existe ningún perfil de seguridad asociado con el nodo, el nodo propaga el mensaje al terminal de salida sin aplicar seguridad. El administrador del intermediario configura los perfiles antes de desplegar un flujo de mensajes, y el gestor de seguridad accede a estos perfiles en tiempo de ejecución. Si se especifica un perfil de seguridad en un flujo de mensajes o en un nodo, el perfil debe estar disponible cuando se despliega el flujo de mensajes; en caso contrario, se produce un error de despliegue.

El perfil de seguridad asociado también permite especificar el proveedor de seguridad externo que debe utilizarse (LDAP, WS-Trust V1.3 STS o TFIM V6.1), y configurar cómo debe utilizarse. El perfil de seguridad se asocia con el nodo SecurityPEP (o con el flujo de mensajes propietario) durante el despliegue, editando la propiedad Perfil de seguridad mediante el Editor de archivador de intermediario.

Para obtener información sobre los tipos de señal de seguridad soportados por el nodo SecurityPEP, consulte Identidad.

El nodo SecurityPEP sólo propaga mensajes al terminal de salida si todas las operaciones de seguridad configuradas finalizan correctamente. Los mensajes de entrada se propagan sin ningún tipo de modificación, salvo el llenado de la identidad de origen y la identidad correlacionada (si existe).

Si alguna de las operaciones de seguridad configuradas no es satisfactoria, el nodo SecurityPEP emite una excepción de seguridad dentro de una excepción recuperable (a diferencia de los nodos de entrada con seguridad habilitada), que invoca el manejo de errores proporcionado con el flujo de mensajes. Esto permite capturar y procesar la excepción. De forma alternativa, puede manejar las excepciones de nodo SecurityPEP conectando el terminal de anomalías del nodo con una lógica de proceso de anomalías de seguridad específica. Cuando una operación de seguridad falla, los mensajes de entrada no se modifican, salvo el llenado de la lista de excepciones.

El nodo SecurityPEP se encuentra en el cajón Seguridad de la paleta, y se representa en el WebSphere Message Broker Toolkit mediante este icono:

Icono del nodo TCPIPClientInput

Estructura de mensajes

El nodo SecurityPEP maneja mensajes en los siguientes dominios de mensajes:
  • MRM
  • XMLNSC
  • DataObject
  • XMLNS
  • JMSMap
  • JMSStream
  • MIME
  • BLOB
  • SOAP
  • XML (este dominio ya no se utiliza; use XMLNSC)
  • IDOC (este dominio ya no se utiliza; use MRM)

Utilización del nodo SecurityPEP en un flujo de mensajes

Examine el ejemplo siguiente para saber cómo utilizar el nodo SecurityPEP:

Puede ver información sobre los ejemplos sólo cuando utilice el Information Center que está integrado en WebSphere Message Broker Toolkit o el Information Center en línea. Puede ejecutar ejemplos sólo cuando utilice el Information Center que está integrado en WebSphere Message Broker Toolkit.

Configuración del nodo SecurityPEP

Cuando haya colocado una instancia del nodo SecurityPEP en un flujo de mensajes, podrá configurarlo; consulte el apartado Configurar un nodo de flujo de mensajes. Las propiedades del nodo se visualizan en la vista Propiedades.

Todas las propiedades obligatorias que no tienen un valor predeterminado aparecen con un asterisco.

Configure el nodo SecurityPEP:

  1. Opcional: En el separador Descripción, especifique una Descripción corta, una Descripción larga, o ambas. En este separador también puede renombrar el nodo.
  2. En el separador Básico, establezca los valores para las propiedades que controlan la extracción de una identidad o señal de seguridad de un mensaje (cuando existe un perfil de seguridad asociado con el nodo).
    • Seleccione una opción de la lista Tipo de señal de identidad para especificar el tipo de identidad del árbol de mensajes entrantes. Si deja esta opción con el valor predeterminado (Señal actual), se utiliza el tipo de señal que existe en el campo de origen o identidad correlacionada de la carpeta Propiedades.

      Si se selecciona Señal actual, los campos Ubicación de señal de identidad y Ubicación de contraseña de identidad se inhabilitan.

    • En Ubicación de señal de identidad, especifique una expresión XPath, una referencia de campo ESQL, o un literal de serie que especifique el lugar en el mensaje en el que se encuentra la identidad o la señal. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.),

      Esta propiedad está inhabilitada si la propiedad Tipo de señal de identidad se establece en Señal actual.

    • En Ubicación de contraseña de identidad, especifique una expresión XPath, una referencia de campo ESQL, o un literal de serie que especifique el lugar en el mensaje en el que se puede encontrar la contraseña. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.),

      Esta opción sólo se puede establecer si el Tipo de señal de identidad se establece en NombreUsuario + Contraseña.

      Esta propiedad está inhabilitada si la propiedad Tipo de señal de identidad se establece en Señal actual.

    • En Ubicación de emisor de identidad, especifique una expresión XPath, una referencia de campo ESQL, o un literal de serie que especifique la ubicación del valor del emisor en el mensaje. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.),

      Si el perfil de seguridad asociado especifica un proveedor de STS WS-Trust v1.3 (por ejemplo, TFIM V6.2) y este campo se deja en blanco, no se incluye ningún elemento WS-Trust Issuer.Address en la solicitud WS-Trust.

  3. En el separador Avanzado, establezca las propiedades para alterar temporalmente los valores predeterminados para un STS WS-Trust v1.3. Estas propiedades sólo pueden establecerse si el perfil de seguridad asociado con el nodo SecurityPEP especifica un STS WS-Trust v1.3.
    • Utilice la propiedad Dirección a la que se aplica WS-Trust para especificar la dirección para el elemento /wst:RequestSecurityToken/wsp:AppliesTo del mensaje WS-Trust. Puede utilizar esta propiedad para proporcionar el URI del servicio para el que debe validarse o emitirse la señal de seguridad.

      Puede especificar este valor como una referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.),

      De forma predeterminada, este valor es un URI para el nombre completo del flujo de mensajes, con el formato uri:nombre intermediario.nombre grupo ejecución.nombre flujo mensajes

    • Utilice la propiedad Servicio al que se aplica WS-Trust para especificar el nombre del servicio para el elemento /wst:RequestSecurityToken/wsp:AppliesTo del mensaje WS-Trust. Puede utilizar esta propiedad para proporcionar el nombre del servicio para el que debe validarse o emitirse la señal de seguridad.

      Puede especificar este valor como una referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.),

      De forma predeterminada, este valor se deja en blanco, lo que significa que la solicitud WS-Trust no incluirá este elemento.

    • Utilice la propiedad PortType al que se aplica WS-Trust para especificar el tipo de puerto para el elemento /wst:RequestSecurityToken/wsp:AppliesTo del mensaje WS-Trust. Puede utilizar esta propiedad para proporcionar el tipo de puerto del servicio para el que debe validarse o emitirse la señal de seguridad.

      Puede especificar este valor como una referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.),

Para obtener más información, consulte Visión general de la seguridad de flujo de mensajes y Configuración de la seguridad de flujo de mensajes.

Terminales y propiedades

Los terminales del nodo SecurityPEP se describen en la tabla siguiente.

Terminal Descripción
Entrada Terminal de entrada que acepta un mensaje para el proceso.
Salida Terminal de salida al que se direcciona el mensaje si el nodo SecurityPEP está asociado a un perfil de seguridad y todas las operaciones de seguridad configuradas finalizan satisfactoriamente. Los elementos de identidad de la carpeta de propiedades propagadas se actualizan mediante las operaciones de seguridad configuradas.
Anomalía Terminal de salida al que se direcciona el mensaje si existe una anomalía en el nodo; por ejemplo, si las operaciones de seguridad configuradas devuelven una excepción.

Las tablas siguientes describen las propiedades del nodo. La columna con la cabecera O indica si la propiedad es obligatoria (marcada con un asterisco si tiene que entrar un valor cuando no hay definido ningún valor predeterminado); la columna con la cabecera C indica si la propiedad es configurable (puede cambiar el valor cuando añade el flujo de mensajes al archivo bar para desplegarlo).

En la tabla siguiente se describen las propiedades de descripción del nodo SecurityPEP.

Propiedad M C Valor predeterminado Descripción
Nombre de nodo No No El tipo de nodo, SecurityPEP El nombre del nodo.
Descripción corta No No   Descripción breve del nodo.
Descripción larga No No   Texto que describe el propósito del nodo en el flujo de mensajes.

En la tabla siguiente se describen las propiedades básicas del nodo SecurityPEP. Establezca los valores para estas propiedades con el fin de controlar la extracción de una identidad de un mensaje (cuando un perfil de seguridad se asocia al nodo). Para obtener más información sobre estas propiedades, consulte Identidad, Configuración de la extracción de una identidad o una señal de seguridad, Visión general de la seguridad de flujo de mensajes y Configuración de la seguridad de flujo de mensajes.

Propiedad M C Valor predeterminado Descripción
Tipo de señal de identidad No No Ninguno Esta propiedad especifica el tipo de señal de identidad existente en el mensaje de entrada. Los valores válidos son:
  • Señal actual
  • Nombre de usuario
  • Nombre de usuario y contraseña
  • Certificado X.509
  • Aserción SAML
  • Kerberos GSS v5 AP_REQ
  • Señal LTPA v2
  • Señal Universal WSSE
Si esta propiedad se establece en Señal actual, se utiliza la identidad de la carpeta Propiedades.

También puede especificar el valor de Nombre de usuario y contraseña para validar un RACF PassTicket mediante un WS-Trust V1.3 STS como TFIM V6.2.

Ubicación de señal de identidad No No Ninguno Esta propiedad indica en qué parte del mensaje se puede encontrar la identidad o señal de seguridad. La ubicación se especifica como referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.),
Ubicación de contraseña de identidad No No Ninguno Esta propiedad indica en qué parte del mensaje se puede encontrar la contraseña. La ubicación se especifica como referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.),

Esta propiedad se puede establecer solamente si se ha establecido Tipo de señal de identidad en Nombre de usuario y contraseña.

Ubicación de emisor de identidad No No Ninguno Esta propiedad especifica una expresión XPath o una vía de acceso ESQL que describe el emisor de la identidad o la señal de seguridad. La ubicación se especifica como referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.),

Esta opción se utiliza cuando el perfil de seguridad asociado especifica un proveedor de STS WS-Trust V1.3 (por ejemplo, TFIM V6.2) para autenticación, correlación o autorización. En este caso, cuando este campo se deja en blanco, se envía un elemento WS-Trust Issuer.Address.

En la tabla siguiente se describen las propiedades avanzadas del nodo SecurityPEP. Estas propiedades sólo se utilizan si el perfil de seguridad especifica un STS WS-Trust V1.3 (por ejemplo, TFIM V6.2).

Propiedad M C Valor predeterminado Descripción
Dirección a la que se aplica WS-Trust No No se ha establecido Esta propiedad establece la dirección para el elemento /wst:RequestSecurityToken/wsp:AppliesTo del mensaje WS-Trust. Utilice esta propiedad para proporcionar el URI del servicio para el que debe validarse o emitirse la señal de seguridad.

Este valor puede especificarse como referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.),

De forma predeterminada, este valor es un URI para el nombre completo del flujo de mensajes, con el formato uri:nombre intermediario.nombre grupo ejecución.nombre flujo mensajes.

Servicio al que se aplica WS-Trust No No se ha establecido Esta propiedad establece el nombre de servicio para el elemento /wst:RequestSecurityToken/wsp:AppliesTo del mensaje WS-Trust. Utilice esta propiedad para proporcionar el nombre del servicio para el que debe validarse o emitirse la señal de seguridad.

Este valor puede especificarse como referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.),

De forma predeterminada, este valor se deja en blanco, lo que significa que la solicitud WS-Trust no incluye este elemento.

PortType al que se aplica WS-Trust No No se ha establecido Esta propiedad establece el tipo de puerto para el elemento /wst:RequestSecurityToken/wsp:AppliesTo del mensaje WS-Trust. Utilice esta propiedad para proporcionar el tipo de puerto del servicio para el que debe validarse o emitirse la señal de seguridad.

Este valor puede especificarse como referencia de campo ESQL, una expresión XPath o un literal de serie. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.),

predeterminada, este valor se deja en blanco, lo que significa que la solicitud WS-Trust no incluye este elemento.

Las propiedades de supervisión del nodo se describen en la siguiente tabla.
Propiedad O C Valor predeterminado Descripción
Sucesos No No Ninguno Los sucesos que se han definido para el nodo se visualizan en este separador. De forma predeterminada, no se define ningún suceso de supervisión en ningún nodo en un flujo de mensajes. Utilice Añadir, Editar y Suprimir para crear, cambiar o suprimir sucesos de supervisión para el nodo; consulte Configuración de orígenes de sucesos de supervisión utilizando propiedades de supervisión para obtener detalles.

Puede habilitar e inhabilitar sucesos que se muestran aquí seleccionando o deseleccionando el recuadro Habilitado.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:00:55


Tema de referenciaTema de referencia | Versión 8.0.0.5 | bc28210_