Beim Konfigurieren einer Anwendung mit Web-Messaging müssen zwei verschiedene Aspekte berücksichtigt werden, der Schutz des ankommenden URI und die Konfiguration der Clientauthentifizierung und -autorisierung für den Service Integration Bus.
Je nach Art der von Ihnen geschriebenen Web-Messaging-Anwendung kann es ratsam sein, den Zugriff auf einen Web-Messaging-URI einzuschränken. Web-Messaging-URIs können mit Standardmethoden für Webanwendungssicherheit geschützt werden. Wenn ein Web-Messaging-URI geschützt
ist, wird die Bayeux-Handshakeanforderung mit den normalen Methoden für Webanwendungssicherheit authentifiziert und autorisiert. Weitere Informationen finden Sie im
Abschnitt Anwendungen während der Assemblierung und Implementierung sichern.
Wenn die Anwendungssicherheit aktiviert ist, wird normalerweise auch die Transportsicherheit aktiviert. Der Web-Messaging-Service nutzt vorhandene Transportketten für Webcontainer, und wenn Sie den Web-Messaging-Service für eine geschützte Transportkette aktivieren, wird
die Kommunikation für alle Bayeux-Operationen geschützt.
Wenn Sie eine Anwendung mit Web-Messaging mit aktivierter Sicherheit konfigurieren, dürfen Sie nicht vergessen, die Sicherheitsanforderungen auf die Interaktionen des Service Integration Bus auszudehnen, sofern kein triftiger Grund dagegen spricht. Berücksichtigen Sie bei der Planung Ihres Sicherheitsmodells die nachfolgend beschriebenen Sicherheitsaspekte des Service Integration Bus. Weitere Informationen finden Sie im Abschnitt Informationen zur Sicherheit der Serviceintegration. Wenn Web-Messaging-Clients eine Verbindung zu einem geschützten Service Integration Bus herstellen, können Sie erst nach ihrer Authentifizierung und Autorisierung auf die Ressourcen des Service Integration Bus zugreifen.
Ein Web-Messaging-Client muss Berechtigungsnachweise für die Authentifizierung gegenüber einem geschützten Service Integration Bus vorweisen. Für die Bereitstellung von Berechtigungsnachweisen gibt es zwei Möglichkeiten: den J2C-Authentifizierungsalias oder Webberechtigungsnachweise. Welche dieser Methoden am besten geeignet ist, hängt von den Anforderungen der Anwendung ab. Die Web-Messaging-Konfigurationsoptionen authType und authAlias geben an, welcher Typ verwendet werden soll. Ausführliche Konfigurationsinformationen enthält der Artikel SIB-Konfiguration.
J2C-Authentifizierungsalias | Mit einem J2C-Authentifizierungsalias können sich Web-Messaging-Clients gegenüber dem Service Integration Bus authentifizieren. In folgenden Situationen sollte ein Authentifizierungsalias verwendet werden:
|
---|---|
Webberechtigungsnachweise | Bei aktivierter Websicherheit können Webberechtigungsnachweise als Authentifizierungsdaten für die Verbindung zu einem sicheren Service Integration Bus verwendet werden. Die beiden unterstützten Webberechtigungsnachweise sind
die Basisauthentifizierungsdaten und LTPA-SSO-Cookies. In Ihrer Web-Messaging-Konfigurationsdatei sollten Sie authType in den folgenden Situationen auf basic oder sso setzen:
|
Der Service Integration Bus kann eine Reihe von Sicherheitsprüfungen durchführen, die die Berechtigungen unterschiedlich differenziert auswerten. Alle angegebenen Authentifizierungsdaten müssen den folgenden Berechtigungsstufen entsprechen.
Bus-Connector-Berechtigung | Die Bus-Connector-Berechtigung ist die erste erforderliche Berechtigungsstufe für den Zugriff auf einen Service Integration Bus und ermöglicht das Herstellen einer Verbindung zum Bus. Dieser Zugriff kann wie bei anderen Berechtigungen für einzelne Benutzer oder für Benutzergruppen gewährt werden. Details zum Konfigurieren der Berechtigung für die Bus-Connector-Rolle finden Sie im Abschnitt Bus-Connector-Rollen verwalten. |
---|---|
Sicherheit des Topicbereichs (Ziel) | Nachdem eine Anwendung die Überprüfung der Bus-Connector-Berechtigung bestanden hat, wird sie versuchen, auf ein Ziel zuzugreifen. Im Falle von Bayeux-Anwendungen sind dies die Topicbereichsziele, die
in der Bayeux-Konfiguration oder im Kanalnamen angegeben sind.
Jedes Ziel sind eine Reihe von Rollen zugeordnet, die genau steuern, welche Art von Aktion eine bestimmte Anwendung oder ein bestimmter Benutzer ausführen kann. Für Bayeux-Anwendungen sind besonders die Rollen "Receiver" (Empfänger) und "Sender" (Sender) interessant. In der Empfängerrolle kann die Anwendung Subskriptionen erstellen und Ereignisse empfangen. In der Senderrolle kann sie Ereignisse im Topicbereich veröffentlichen. Details zum Konfigurieren dieser Berechtigungsrollen für einen bestimmten Topicbereich finden Sie im Abschnitt Zielsicherheit. |
Zielsicherheit | Innerhalb eines Topicbereichs kann der Zugriff ebenfalls differenziert für einzelne Topics oder Topiczweige
gesteuert werden.
So kann eine Anwendung daran gehindert werden, die Ereignisse zu sehen, die eine andere Anwendung in anderen Topics veröffentlicht hat, auch wenn diese
in demselben Topicbereich veröffentlicht wurden.
Wie die Sicherheit auf Topicebene konfiguriert wird, ist detailliert in den folgenden Artikeln beschrieben: |