Protección de aplicaciones habilitadas para mensajería web

La configuración de una aplicación habilitada para mensajería web consta de dos aspectos diferentes: la protección del URI entrante y la configuración de la autorización y la autenticación del cliente en el bus de integración de servicios.

Protección de un URI de mensajería Web

Dependiendo del tipo de aplicación de mensajería web que esté escribiendo, si lo desea, puede restringir el acceso a un URI de mensajería web. Los URI de mensajería web pueden protegerse utilizando métodos de seguridad de aplicaciones Web estándar. Cuando se protege un URI de mensajería web, la petición de reconocimiento de Bayeux se autenticará y se autorizará utilizando métodos de seguridad de aplicaciones Web normales. Consulte el siguiente tema: La sección Protección de aplicaciones durante el ensamblaje y despliegue para obtener más información. Cuando la seguridad de aplicaciones está habilitada, es normal habilitar la seguridad de transporte. El servicio de mensajería web comparte las cadenas de transporte del contenedor Web y, si habilita el servicio de mensajería web en una cadena de transporte protegida, la comunicación estará protegida para todas las operaciones de Bayeux.

Autenticación y autorización del bus de integración de servicios

Cuando se configura una aplicación habilitada para mensajería web con la seguridad habilitada, es importante entender que los requisitos de seguridad deben ampliarse a las interacciones del bus de integración de servicios, a menos que exista una razón concreta para no hacerlo. Cuando planifique el modelo de seguridad, debe tener en cuenta cada uno de los aspectos de la seguridad en el bus de integración de servicios que se describe a continuación. Consulte el siguiente tema: Información sobre la seguridad de integración de servicios para obtener más información. Cuando los clientes de mensajería web se conectan a un bus de integración de servicios, el cliente debe estar autenticado y autorizado para acceder a los recursos del bus de integración de servicios.

Un cliente de mensajería web debe proporcionar credenciales para autenticarse en un bus de integración de servicios seguro. Existen dos métodos para proporcionar credenciales: alias de autenticación de JavaTM 2 Connector o credenciales Web. El método óptimo depende de las necesidades de la aplicación. Las opciones de configuración de mensajería web authType y authAlias especifican qué tipo se debe utilizar. Consulte el tema Configuración del bus de integración de servicios para obtener información detallada sobre la configuración.

Alias de autenticación de Java 2 Connector

 Un alias de autenticación de Java 2 Connector es un método que permite autenticar los clientes de mensajería web en el bus de integración de servicios. El alias de autenticación debe utilizarse si:

  • La seguridad Web está inhabilitada y la seguridad de bus está habilitada. La especificación de un alias de autenticación es la única solución posible para permitir que los clientes de mensajería web accedan al bus de integración de servicios.
  • Es posible que todos los clientes de mensajería web que llegan en un URI individual tengan los mismos permisos de tema y el mismo espacio de temas de bus de integración de servicios. En este caso, es más fácil gestionar los permisos de autorización de una sola instancia de autenticación que gestionar los permisos de cada usuario Web autenticado.
Credenciales Web Cuando la seguridad Web está habilitada, pueden utilizarse las credenciales Web como información de autenticación para conectarse a un bus de integración de servicios seguro. Los dos tipos de credencial Web soportados son la autenticación básica y las cookies de inicio de sesión único LTPA. Establezca el archivo de configuración de mensajería web para que utilice un authType básico o SSO si:
  • La seguridad Web está habilitada. La información de autenticación básica o de la cookie LTPA debe ser legible en la petición HTTP. Si esta información no está disponible, el acceso a un bus de integración de servicios seguro fallará. La capacidad de leer credenciales Web puede estar limitada cuando se utiliza un interceptor de asociación de confianza. En este caso, sólo podrá utilizar el alias de autenticación de Java 2 Connector.
  • Se necesitan autorizaciones precisas de tema o de espacio de temas de usuario de mensajería web. En este caso, deberá seguir los siguientes pasos de autorización para permitir que un usuario o un grupo acceda a los recursos del bus de integración de servicios.

   

El bus de integración de servicios proporciona una serie de comprobaciones de seguridad que permiten validar la autorización con distintos niveles de granularidad. Deben cumplirse los siguientes niveles de autorización para cualquier dato de autenticación especificado.

Autorización del conector de bus El primer nivel de autorización necesario para poder acceder a un bus de integración de servicios es la capacidad de conectarse al bus, o la autorización del conector de bus. Al igual que en otras autorizaciones, puede otorgar este acceso a usuarios individuales o a un grupo de usuarios. Puede encontrar más información sobre cómo configurar la autorización del rol de conector de bus en el tema Administración de roles de conector de bus.
Seguridad del (destino de) espacio de temas Cuando una aplicación ha pasado la comprobación de la autorización del conector de bus, lo siguiente que debe hacer es acceder a un destino. En el caso de las aplicaciones Bayeaux, será el destino (o destinos) de espacio de temas especificado en el nombre de canal o la configuración Bayeaux.

Cada destino tiene un conjunto de roles individuales asociados que controlan el tipo exacto de acción que debe realizar una aplicación o un usuario concreto. Para las aplicaciones Bayeaux, los roles de interés más comunes son el rol Destinatario para que la aplicación pueda crear suscripciones y recibir sucesos, y el rol Remitente para publicar sucesos en el espacio de nombres. Puede encontrar más información sobre cómo configurar estos roles de autorización para un determinado espacio de temas en el tema Seguridad de destinos.

Seguridad de temas En un espacio de temas, también se puede configurar un control de acceso preciso en los temas individuales o en las ramificaciones de los temas. Esto significa que puede impedir que una aplicación vea los sucesos publicados sobre otros temas por otra aplicación, aunque dichos sucesos se estén publicando en el mismo espacio de temas.

En los siguientes temas puede encontrar más información sobre cómo configurar la seguridad a nivel de tema:



Condiciones de uso | Comentarios