維護啟用 Web 傳訊之應用程式的安全

啟用 Web 傳訊的應用程式有兩個不同的配置層面:保護送入的 URI,以及配置用戶端的服務整合匯流排鑑別和授權。

保護 Web 傳訊 URI

依所撰寫的 Web 傳訊應用程式類型而定,您可以限制存取 Web 傳訊 URI。 Web 傳訊 URI 可以利用標準 Web 應用程式安全方法來保護。 當保護 Web 傳訊 URI 時,會利用一般 Web 應用程式安全方法來鑑別及授權 Bayeux 信號交換要求。 請參閱下列主題: 在組合及部署期間維護應用程式安全一節,以取得相關資訊。當啟用應用程式安全時,通常會啟用傳輸安全。 Web 傳訊服務會共用 Web 儲存器傳輸鏈,如果您在受安全保護的傳輸鏈上啟用 Web 傳訊服務,所有 Bayeux 作業的通訊都會受到安全保護。

服務整合匯流排鑑別和授權

當啟用安全來配置啟用 Web 傳訊的應用程式時,請務必瞭解,除非有具體的反對理由,否則,安全需求應該延伸到服務整合匯流排的互動。 當規劃安全模型時,您應該考量以下所說明服務整合匯流排的各個安全層面。 請參閱下列主題:瞭解服務整合安全,以取得相關資訊。 當 Web 傳訊用戶端連接到安全服務整合匯流排時,用戶端必須經過鑑別和授權,才能取服務整合匯流排資源。

Web 傳訊用戶端必須提供認證,才能接受安全服務整合匯流排的鑑別。 提供認證的方法有兩個選項:「JavaTM 2 連接器」鑑別別名或 Web 認證。 最好的使用方法會隨著應用程式的需求而不同。 authType 和 authAlias Web 傳訊配置選項指定要用的類型。 請參閱服務整合匯流排配置主題,以取得詳細配置資訊。

Java 2 Connector 鑑別別名

 Java 2 Connector 鑑別別名是可供 Web 傳訊用戶端接受服務整合匯流排鑑別的方法。 在下列狀況中,應該使用鑑別別名:

  • 停用 Web 安全,啟用匯流排安全。 如果要讓 Web 傳訊用戶端存取服務整合匯流排,指定鑑別別名是唯一可能的解決方案。
  • 所有在單一 URI 進入的 Web 傳訊用戶端,都可以有相同的服務整合匯流排主題空間和主題許可權。 在這個情況下,相較於管理每個鑑別過的 Web 使用者的許可權,管理單一鑑別實例的授權許可權比較容易。
Web 認證 當啟用 Web 安全時,可以利用 Web 認證來作為連接到安全服務整合匯流排的鑑別資訊。 基本鑑別和 LTPA Cookie 單一登入是兩個支援的 Web 認證類型。 在下列條件之下,您應該設定 Web 傳訊配置檔來使用 authType basic 或 sso:
  • 啟用 Web 安全。 在 HTTP 要求中,必須能夠讀取基本鑑別或 LTPA Cookie 資訊。 如果無法取得這個資訊,存取安全服務整合匯流排就會失敗。 當「信任關聯攔截程式」在使用中時,讀取 Web 認證的能力很可能會受到限制。 在這個情況下,會限制您使用 Java 2 Connector 鑑別別名。
  • 需要精細的 Web 傳訊使用者主題空間或主題授權。 在這個情況下,您必須遵循下列授權步驟,讓使用者或群組能夠存取服務整合匯流排資源。

   

服務整合匯流排提供一系列的安全檢查,供您按各種精度來進行授權驗證。 任何指定的鑑別資料,都必須符合下列授權層級。

匯流排連接器授權 存取服務整合匯流排所需要的第一個授權層次是能夠連接到匯流排,或匯流排連接器授權。 如同其他授權,這個存取權也可以授予個別使用者,或授予使用者群組。 管理匯流排連接器角色主題中,可找到如何針對匯流排連接器角色配置授權的相關詳細資料。
主題空間(目的地)安全 應用程式通過匯流排連接器授權檢查之後,下一個必須執行的動作是存取目的地。 如果是 Bayeaux 應用程式,這就是 Bayeaux 配置或通道名稱所指定的主題空間目的地(或目的地)。

每個目的地都有一組相關聯的個別角色,用來控制特定應用程式或使用者所能執行的確切動作類型。 對 Bayeaux 應用程式而言,最有用的角色是「接收者」角色和「傳送者」角色;「接收者」角色供應用程式建立訂閱及接收事件,「傳送者」角色用來向主題空間發佈事件。 下列目的地安全主題可找到如何配置給定主題空間的這些授權角色的詳細資料。

主題安全 在主題空間之內,也可以配置個別主題或主題分支的精細存取控制。 這表示您可以防止應用程式見到不同的應用程式在其他主題上發佈的事件,即使這些事件是發佈在相同主題空間也一樣。

下列主題有如何配置主題層次安全的詳細資料:



使用條款 | 意見