Protegendo Aplicativos Ativados pelo Sistema de Mensagens da Web

Há dois aspectos diferentes na configuração de um aplicativo ativado pelo sistema de mensagens da Web: proteger a URI que chega e configurar a autenticação de cliente e a autorização para o barramento de integração de serviços.

Protegendo uma URI do Sistema de Mensagens da Web

Dependendo do tipo de aplicativo de sistema de mensagens da Web que você está gravando, talvez você queira restringir o acesso a uma URI do sistema de mensagens da Web. A URI do sistema de mensagens da Web pode ser protegida utilizando métodos de segurança padrão do aplicativo da Web. Quando uma URI do sistema de mensagens da Web for protegida, o protocolo de reconhecimento Bayeux será autenticado e autorizado utilizando métodos de segurança normais do aplicativo da Web. Consulte os seguintes tópicos: seção Protegendo aplicativos durante a montagem e implementação para obter informações adicionais. Quando a segurança do aplicativo está ativada, é comum ativar a segurança de transporte. O serviço de sistema de mensagens da Web compartilha cadeias de transporte do contêiner de Web e, se você ativar o serviço de sistema de mensagens da Web em uma cadeia de transporte protegida, a comunicação será protegida para todas as operações do Bayeux.

Autenticação e Autorização do Barramento de Integração de Serviços

Ao configurar um aplicativo ativado pelo sistema de mensagens da Web com segurança ativada, é importante entender que os requisitos de segurança devem ser estendidos até as interações do barramento de integração de serviços, a menos que haja uma razão específica para não fazer isso. Ao planejar o modelo de segurança, você deve considerar cada um dos aspectos de segurança no barramento de integração de serviços descrito abaixo. Consulte o seguinte tópico: Aprendendo sobre a segurança de integração de serviço para obter informações adicionais. Quando clientes do sistema de mensagens da Web se conectam a um barramento de integração de serviços protegido, o cliente deve ser autenticado e autorizado a acessar recursos de barramento de integração de serviços.

Um cliente do sistema de mensagens da Web fornece credenciais para se autenticar em um barramento de integração de serviços protegido. Há duas opções para os métodos de fornecimento de credenciais: alias de autenticação ou credenciais da Web JavaTM 2 Connector. O método ideal a ser usado depende das necessidades do aplicativo. As opções de configuração do sistema de mensagens da Web, authType e authAlias, especificam o tipo a ser utilizado. Consulte o tópico Configuração do Barramento de Integração de Serviços para obter informações de configuração detalhadas.

Alias de Autenticação do Java 2 Connector

 Um alias de autenticação do Java 2 Connector é um método para permitir que clientes do sistema de mensagens da Web se autentiquem no barramento de integração de serviços. Um alias de autenticação deve ser utilizado nas seguintes situações:

  • A segurança da Web está desativada e a segurança do barramento está ativada. Especificar um alias de autenticação é a única solução possível para permitir que clientes do sistema de mensagens da Web acessem o barramento de integração de serviços.
  • É permitido a todos os clientes do sistema de mensagens da Web que chegam em uma única URI que tenham o mesmo espaço de tópico e as mesmas permissões de tópico do barramento de integração de serviços. Nesse caso, é mais fácil gerenciar as permissões de autorização para uma única instância de autenticação do que gerenciar as permissões para cada usuário da Web autenticado.
Credenciais da Web Quando a segurança da Web está ativada, as credenciais da Web podem ser utilizadas como informações sobre autenticação para conexão com um barramento de integração de serviços protegido. Os cookies de autenticação básica e de conexão única de LTPA são os dois tipos de credenciais da Web suportados. Você deve configurar o arquivo de configuração do sistema de mensagens da Web para utilizar um authType básico ou sso sob as seguintes condições:
  • A segurança da Web está ativada. As informações do cookie de autorização básica ou de LTPA devem estar legíveis no pedido de HTTP. Se essas informações estiverem indisponíveis, o acesso a um barramento de integração de serviços protegido falhará. A capacidade de ler credenciais da Web será provavelmente limitada quando um interceptor de associação Confiável estiver em uso. Nesse caso, você será limitado à utilização do alias de autenticação do Java 2 Connector.
  • São necessárias autorizações de espaço de tópicos ou de tópico do sistema de mensagens da Web de baixa granularidade. Nesse caso, você terá que seguir as etapas de autorização abaixo para permitir que o usuário ou grupo acesse os recursos do barramento de integração de serviços.

   

O barramento de integração de serviços fornece uma série de verificações de segurança que permitem a validação da autorização em diferentes granularidades. Os seguintes níveis de autorização devem ser atendidos para qualquer dado de autenticação especificado.

Autorização do conector do barramento O primeiro nível de autorização necessário para acessar um barramento de integração de serviços é a capacidade de conexão com o barramento ou a autorização do conector do barramento. Como outras autorizações, é possível conceder esse acesso a usuários individuais ou a um grupo de usuários. Detalhes sobre como configurar autorização para a função de conector de barramento podem ser localizados no tópicoAdministrando funções de conector de barramento.
Segurança do Espaço de Tópico (Destino) Assim que um aplicativo for aprovado na verificação de autorização do conector de barramento, a próxima coisa que ele precisará fazer será acessar um destino. No caso de aplicativos Bayeaux, este será o destino de espaço de tópico (ou destinos) especificado na configuração do Bayeaux ou no nome do canal.

Cada destino possui um conjunto de funções individuais associadas a ele que controlam o tipo exato de ação que um determinado aplicativo ou usuário pode executar. Para aplicativos Bayeaux, as funções de interesse mais comuns são a função de Receptor para ativar o aplicativo para criar assinaturas e receber eventos e a função de Emissor para publicar eventos no espaço de tópico. Detalhes sobre como configurar essas funções de autorização para um determinado espaço de tópico podem ser localizados nos seguintes tópicoSegurança de destino.

Segurança de Tópico Em um espaço de tópicos, também é possível configurar o controle de acesso de baixa granularidade sobre tópicos individuais ou ramificações de tópicos. Isso significa que um aplicativo pode ser impedido de ver os eventos publicados em outros tópicos por um aplicativo diferente, mesmo se esses eventos estiverem sendo publicados no mesmo espaço de tópico.

Detalhes sobre como configurar a segurança de nível de tópico podem ser encontrados nos tópicos a seguir;



Termos de Uso | Feedback