La configuración de una aplicación habilitada para mensajería web consta de dos aspectos diferentes: la protección del URI entrante y la configuración de la autorización y la autenticación del cliente en el bus de integración de servicios.
Dependiendo del tipo de aplicación de mensajería web que esté escribiendo, si lo
desea, puede restringir el acceso a un URI de mensajería web. Los URI de mensajería web
pueden protegerse utilizando métodos de seguridad de aplicaciones Web estándar. Cuando se
protege un URI de mensajería web, la petición de reconocimiento de Bayeux se autenticará
y se autorizará utilizando métodos de seguridad de aplicaciones Web normales. Consulte el siguiente tema: La sección Protección de aplicaciones durante el ensamblaje y despliegue para obtener más información. Cuando la seguridad de aplicaciones está
habilitada, es normal habilitar la seguridad de transporte. El servicio de mensajería web
comparte las cadenas de transporte del contenedor Web y, si habilita el servicio de
mensajería web en una cadena de transporte protegida, la comunicación estará protegida
para todas las operaciones de Bayeux.
Cuando se configura una aplicación habilitada para mensajería web con la seguridad habilitada, es importante entender que los requisitos de seguridad deben ampliarse a las interacciones del bus de integración de servicios, a menos que exista una razón concreta para no hacerlo. Cuando planifique el modelo de seguridad, debe tener en cuenta cada uno de los aspectos de la seguridad en el bus de integración de servicios que se describe a continuación. Consulte el siguiente tema: Información sobre la seguridad de integración de servicios para obtener más información. Cuando los clientes de mensajería web se conectan a un bus de integración de servicios, el cliente debe estar autenticado y autorizado para acceder a los recursos del bus de integración de servicios.
Un cliente de mensajería web debe proporcionar credenciales para autenticarse en un bus de integración de servicios seguro. Existen dos métodos para proporcionar credenciales: alias de autenticación de JavaTM 2 Connector o credenciales Web. El método óptimo depende de las necesidades de la aplicación. Las opciones de configuración de mensajería web authType y authAlias especifican qué tipo se debe utilizar. Consulte el tema Configuración del bus de integración de servicios para obtener información detallada sobre la configuración.
Alias de autenticación de Java 2 Connector | Un alias de autenticación de Java 2 Connector es un método que permite autenticar los clientes de mensajería web en el bus de integración de servicios. El alias de autenticación debe utilizarse si:
|
---|---|
Credenciales Web | Cuando la seguridad Web está habilitada, pueden utilizarse las credenciales Web
como información de autenticación para conectarse a un bus de integración de servicios
seguro. Los dos tipos de credencial Web soportados son la autenticación básica y las
cookies de inicio de sesión único LTPA. Establezca el archivo de configuración de
mensajería web para que utilice un authType básico o SSO si:
|
El bus de integración de servicios proporciona una serie de comprobaciones de seguridad que permiten validar la autorización con distintos niveles de granularidad. Deben cumplirse los siguientes niveles de autorización para cualquier dato de autenticación especificado.
Autorización del conector de bus | El primer nivel de autorización necesario para poder acceder a un bus de integración de servicios es la capacidad de conectarse al bus, o la autorización del conector de bus. Al igual que en otras autorizaciones, puede otorgar este acceso a usuarios individuales o a un grupo de usuarios. Puede encontrar más información sobre cómo configurar la autorización del rol de conector de bus en el tema Administración de roles de conector de bus. |
---|---|
Seguridad del (destino de) espacio de temas | Cuando una aplicación ha pasado la comprobación de la autorización del conector
de bus, lo siguiente que debe hacer es acceder a un destino.
En el caso de las
aplicaciones Bayeaux, será el destino (o destinos) de espacio de temas especificado en el
nombre de canal o la configuración Bayeaux. Cada destino tiene un conjunto de roles individuales asociados que controlan el tipo exacto de acción que debe realizar una aplicación o un usuario concreto. Para las aplicaciones Bayeaux, los roles de interés más comunes son el rol Destinatario para que la aplicación pueda crear suscripciones y recibir sucesos, y el rol Remitente para publicar sucesos en el espacio de nombres. Puede encontrar más información sobre cómo configurar estos roles de autorización para un determinado espacio de temas en el tema Seguridad de destinos. |
Seguridad de temas | En un espacio de temas, también se puede configurar un control de acceso preciso
en los temas individuales o en las ramificaciones de los temas. Esto significa que puede
impedir que una aplicación vea los sucesos publicados sobre otros temas por otra
aplicación, aunque dichos sucesos se estén publicando en el mismo espacio de temas. En los siguientes temas puede encontrar más información sobre cómo configurar la seguridad a nivel de tema: |