Clientauthentifizierung in einem Service Integration Bus
Wenn eine Clientanwendung versucht, eine Verbindung zu einer Messaging-Engine in einem sicheren Service Integration Bus herzustellen, übergibt die Clientanwendung ihre Berechtigungsnachweise an den Server, die dann anhand der Benutzerregistry authentifiziert werden.
Die Clientauthentifizierung ist neben der Berechtigung und der Transportverschlüsselung ein Sicherheitsmechanismus, um den Bus vor unbefugten Zugriffen zu schützen. Die Clientauthentifizierung ist nur wirksam, wenn die Verwaltungssicherheit in WebSphere Application Server und die Messaging-Sicherheit im Bus aktiviert ist.
- Benutzer-ID und Kennwort
- X509-Zertifikat
WebSphere Application Server Version 6 unterstützt verschiedene Typen von Benutzerregistrys, einschließlich eingebundenen Repositorys.
WebSphere Application Server Version 7.0 oder höher kann die Benutzerregistry aus der Verwaltungsdomäne oder die Bus- oder Zellendomänen verwenden.
Der Sicherheitsadministrator des Busses prüft, ob die Berechtigungsnachweise für den verbindenden Client in der Benutzerregistry für die Zelle, in der sich der Bus befindet, gültig sind. Wenn der Server einer JMS-Clientanwendung die Berechtigung erteilt, eine Clientauthentifizierung mit SSL (Secure Sockets Layer) durchzuführen, ist eine eigenständige LDAP-Benutzerregistry (Lightweight Directory Access Protocol) erforderlich.
Wenn Anwendungscode in einem EJB- oder Web-Container den JMS-Client als JCA-Ressource (J2EE Connector Architecture) aufruft, richtet sich die Authentifizierung danach, ob der Anwendungscode für eine containergesteuerte oder anwendungsverwaltete Anmeldung bei Ressourcen konfiguriert wurde. Nähere Einzelheiten finden Sie im Artikel Java-EE-Connector-Sicherheit.
Wenn bei der Authentifizierung der Anwendung ein Fehler auftritt, wird eine Ausnahme des Typs JMSSecurityException ausgelöst.