WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Configuración de la extracción de una identidad o una señal de seguridad

Puede configurar el nodo SecurityPEP o los nodos de entrada con seguridad habilitada para extraer la identidad o la señal de seguridad de un mensaje y almacenarla en los campos de identidad del árbol de propiedades, permitiendo que se procese a través del flujo de mensajes y que se propague a los nodos de salida o solicitud.Configure el intermediario para extraer la identidad de un mensaje y pasarla a través del flujo de mensajes.

Antes de empezar:

Compruebe que existe un perfil de seguridad apropiado o cree un perfil de seguridad nuevo. Consulte el apartado Creación de un perfil de seguridad.

Si se asocia un nodo de entrada o nodo SecurityPEP con un perfil que especifica una operación de seguridad (autenticación, correlación o autorización) o especifica la propagación como habilitada, el nodo puede recuperar una señal de identidad o seguridad de la corriente de bits de mensaje.
  • Un nodo MQInput, con la propiedad de seguridad Tipo de señal de identidad establecida en Valor predeterminado de transporte, recupera el elemento UserIdentifier del descriptor de mensaje (MQMD) y lo pone en el elemento de señal de origen de identidad de la carpeta de propiedades. Al mismo tiempo, establece el elemento de Tipo de origen de entidad en nombreusuario y el origen de identidad emitido por el elemento en MQMD.PutApplName (el nombre de la aplicación de colocación).
  • Un nodo HTTPInput, con la propiedad de seguridad Tipo de señal de identidad establecida en Valor predeterminado de transporte, recupera la cabecera BasicAuth de la solicitud HTTP, la descodifica y la coloca en los elementos Señal de origen de identidad y Contraseña de la carpeta Propiedades. Al mismo tiempo, establece el elemento Tipo de origen de identidad en Nombre de usuario + Contraseña y el elemento Origen de identidad emitido por en la propiedad UserAgent de cabecera HTTP.
  • Un nodo SOAPInput recupera las señales correspondiente tal como se definen en los conjuntos de políticas y enlaces configurados de WS-Security, o (si no se han establecido), el enlace de transporte determina el tipo de señal; por ejemplo, el transporte HTTP es BasicAuth. El nodo SOAPInput rellena luego los campos de origen de identidad de la carpeta Propiedades con las señales recuperadas. Con un conjunto de políticas y enlaces Kerberos, el tipo de señal es un nombre de usuario que contiene el nombre principal de servicio (SPN) del tiquet Kerberos.
  • Un nodo SecurityPEP, con la propiedad Tipo de señal de identidad establecido en Señal actual, puede utilizar la señal que se ha extraído mediante un nodo de entrada en sentido ascendente o SecurityPEP y se ha almacenado en la carpeta Propiedades.

En algunos casos, la información extraída de las cabeceras de transporte no se establece o no es suficiente para realizar la autenticación o la autorización. Por ejemplo, para que se produzca la autenticación, se necesita una señal del tipo NombreUsuario + Contraseña, pero en WebSphere MQ, sólo está disponible un nombre de usuario, lo que significa que hay que confiar en la identidad de entrada. Sin embargo, puede aumentar la seguridad aplicando seguridad a nivel de transporte utilizando WebSphere MQ Extended Security Edition.

Si la cabecera de transporte no puede proporcionar las credenciales de identidad necesarias, se debe proporcionar la información como parte del cuerpo del mensaje de entrada. Para habilitar la información de identidad que se va a tomar del cuerpo del mensaje, debe especificar la ubicación de la información utilizando el separador Seguridad en los nodos de entrada HTTP, MQ y SCA o el separador Básico en el nodo SecurityPEP, o configurando el perfil de WS-Security del conjunto de políticas y enlaces necesarios en el nodo SOAP. Un nodo SOAP con un conjunto de políticas y enlaces Kerberos extrae una señal de nombre de usuario que contiene el SPN (Service Principal Name) del tiquet Kerberos.

  1. En Tipo de señal de identidad, especifique el tipo de señal de identidad que hay en el mensaje. El tipo puede tener uno de los valores siguientes:
    • Valor predeterminado de transporte (en los nodos de entrada con seguridad habilitada)
    • Señal actual (en el nodo SecurityPEP)
    • Nombre de usuario
    • Nombre de usuario y contraseña
    • Certificado X.509
    • Aserción SAML
    • Kerberos GSS v5 AP_REQ (en el nodo SecurityPEP)
    • Señal LTPA v2 (en el nodo SecurityPEP)
    • Señal WSSE universal (en el nodo SecurityPEP)
    En los nodos de entrada con seguridad habilitada, el valor predeterminado es Valor predeterminado de transporte. En el nodo SecurityPEP, el valor por defecto es Señal actual, lo que indica que se utiliza el tipo de señal que existe en el campo de origen o identidad correlacionada de la carpeta Propiedades.
  2. En Ubicación de señal de identidad, especifique la ubicación en el mensaje donde se especifica la identidad. Esta serie tiene el formato de una referencia de campo ESQL, expresión XPath o literal de serie y debe resolverse en una señal con el tipo NombreUsuario, NombreUsuario y contraseña, Aserción SAML, Kerberos GSS v5 AP_REQ, Señal LTPA v2 o Certificado X.509. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.).
  3. En Ubicación de contraseña de identidad, entre la ubicación en el mensaje donde se especifica la contraseña. Esta serie tiene el formato de una referencia de campo ESQL, una expresión XPath o un literal de serie, y debe resolverse en una serie que contenga una contraseña. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.). Esta opción se puede establecer solamente si el Tipo de señal de identidad se ha establecido en NombreUsuario y contraseña.
  4. En Ubicación de emisor de identidad, especifique una expresión de vía de acceso o serie para mostrar dónde (en el mensaje) se encuentra la información sobre el emisor de la identidad. Esta serie tiene el formato de una referencia de campo ESQL, una expresión XPath o un literal de serie, que indica dónde se ha definido la identidad. Si utiliza un literal de serie, debe especificarlo entre comillas simples y no puede contener ningún punto (.).

    Si deja esta propiedad en blanco en los nodos de entrada con seguridad habilitada, se utiliza el valor de cabecera de transporte (si existe). Por ejemplo, para MQ se utiliza el valor de MQMD.PutApplName. Si deja esta propiedad en blanco en el nodo SecurityPEP, la solicitud WS-Trust se envía al STS sin el elemento Issuer opcional en el mensaje WS-Trust.

  5. (Opcional) Asegura que todos los nodos de entrada comparten la misma información promocionando las propiedades al flujo del mensaje.
Para habilitar la extracción de una identidad en un nodo de entrada con seguridad habilitada o un nodo SecurityPEP, seleccione un perfil de seguridad que tenga como mínimo una operación de seguridad configurada (autenticación, correlación o autorización) o la propagación habilitada:
  1. En WebSphere Message Broker Toolkit, pulse el botón derecho del ratón en el archivo BAR y luego pulse Abrir con > Editor de archivador de intermediario.
  2. Pulse el separador Gestionar y configurar.
  3. Pulse el flujo o el nodo en el que desea establecer el perfil de seguridad. Las propiedades que puede configurar para el flujo de mensajes para el nodo se visualizan en la vista Propiedades.
  4. En el campo Nombre de perfil de seguridad, seleccione un perfil de seguridad.
  5. Guarde el archivo BAR.
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:00:16


Tema de tareaTema de tarea | Versión 8.0.0.5 | ap04110_