Standardkonfiguration busfähiger Web-Services für den Zugriff auf einen sicheren Bus

Standardmäßig kann die busfähige Web-Service-Komponente auf einen sicheren Service Integration Bus zugreifen, d. h., wenn Ihre Web-Service-Clients beim Einreichen von Anforderungen geeignete Berechtigungsnachweise bereitstellen, können Sie busfähige Web-Services verwenden, wenn die Bussicherheit aktiviert ist. Sie können die Standardkonfiguration ändern oder überschreiben, z. B., indem Sie einen Authentifizierungalias definieren, den der Serviceintegrationsressourcenadapter für den Zugriff auf den Bus verwendet.

Anmerkung: Zur Verwendung busfähiger Web-Services bei aktivierter Bussicherheit müssen Ihre Web-Service-Clients beim Einreichen von Anforderungen geeignete Berechtigungsnachweise bereitstellen. Ihre Clients können Berechtigungsnachweise über WS-Security oder HTTP-Basisauthentifizierung (siehe die Beschreibung im Artikel Web-Service-Clients mit HTTP-Basisauthentifizierung authentifizieren) bereitstellen. Für die HTTP-Basisauthentifizierung muss auch die Anwendungssicherheit aktiviert sein, und je nachdem, welches dieser Authentifizierungsschemas Sie verwenden, muss der Endpunktlistener entsprechend konfiguriert sein (siehe die Beschreibung im Artikel Eingehende Services durch ein Kennwort schützen). Wenn Sie die HTTP-Basisauthentifizierung verwenden, ordnen Sie die Rolle AuthenticatedUsers der Sondergruppe "AllAuthenticatedUsers" (oder einer anderen geeigneten authentifizierten Gruppe bzw. einem geeigneten Benutzer) zu. Bei Verwendung von WS-Security müssen Sie die Endpunktlistenerrolle AuthenticatedUsers nur dann zuordnen, wenn die Anwendungssicherheit aktiviert ist. In diesem Fall ordnen Sie die Rolle AuthenticatedUsers der Sondergruppe "Everyone" zu. Weitere Informationen finden Sie im Artikel Benutzer und Gruppen Rollen zuordnen.
Die Standardkonfiguration, die busfähigen Web-Services für den Zugriff auf einen sicheren Bus verwendet, ist wie folgt:
  • Der Zugriff auf einen Bus ist über die Rolle Bus-Connector konfiguriert. Standardmäßig enthält jede Rolle "Bus-Connector" eine Gruppe mit dem Namen server. Member dieser Gruppe sind berechtigt, eine Verbindung zum Bus herzustellen.
  • Der Ressourcenadapter der Serviceintegration verwendet eine J2C-Aktivierungsspezifikation, um mit dem Bus zu kommunizieren. Standardmäßig hat diese Aktivierungsspezifikation eine angepasste boolesche Eigenschaft mit dem Namen useServerSubject, das auf true gesetzt ist. Diese Eigenschaft ermöglicht dem Ressourcenadapter der Serviceintegration, als Subjekt (Member) der Gruppe "server" eine Verbindung zum Bus herzustellen.

Gruppe "Server "in der Rolle "Bus-Connector"

Diese Gruppe kontrolliert, ob ein Benutzer berechtigt ist, eine Verbindung zum Bus herzustellen. Die Gruppe "Server" kann über die Administrationskonsole hinzugefügt oder entfernt werden:

Serviceintegration -> Busse -> Sicherheitswert -> [Berechtigungsrichtlinie] Benutzer und Gruppen in der Rolle Bus-Connector

Diese Gruppe kann auch mit den folgenden wsadmin-Befehlsscripts definiert werden:

addGroupToBusConnectorRole
removeGroupFromBusConnectorRole

Eigenschaft "useServerSubject"

Sie finden diese boolesche Eigenschaft in der Anzeige mit den angepassten Eigenschaften der J2C-Aktivierungsspezifikation, die dem Service für eingehende Daten, dem Service für abgehende Daten bzw. dem Gateway-Service zugeordnet ist:

Ressourcen -> Ressourcenadapter -> J2C-Aktivierungsspezifikationen -> Name_der_Aktivierungsspezifikation -> [Weitere Eigenschaften] Angepasste Eigenschaften J2C-Aktivierungsspezifikation

Diese Eigenschaft kann auch mit wsadmin-Befehlsscripts definiert werden.

Standardkonfiguration inaktivieren und überschreiben

Wenn Sie die Standardkonfiguration inaktivieren möchten, können Sie die Eigenschaft useServerSubject auf "false" setzen, anstatt die Gruppe "Server" zu entfernen, da der Serviceintegrationsressourcenadapter nicht die einzige Systemressource ist, die das Serversubjekt verwendet. Wenn Sie die Gruppe "Server" aus der Rolle "Bus-Connector" entfernen, kann das Serversubjekt von keiner Systemressource mehr verwendet werden.

Sie können auch die Standardkonfiguration überschreiben, indem Sie einen Authentifizierungsalias definieren, den der Serviceintegrationsressourcenadapter für den Zugriff auf den Bus verwendet. Die Verwendung eines Authentifizierungsaliasnamens macht die Konfiguration nicht sicherer. Sie können jedoch aus Konsistenzgründen einen Alias verwenden, wenn andere Anwendungsserver unter WebSphere Application Server Version 6.0.x ausgeführt werden oder wenn Sie die Verwendung von IDs und Kennwörtern für interne Geschäftskontrollen unterstützen möchten.

Wenn Sie einen Authentifizierungsalias konfigurieren, müssen Sie die Standardkonfiguration nicht inaktivieren. Wenn ein Authentifizierungsalias vorhanden ist, überschreibt dieser die Standardkonfiguration. Wenn Sie den Authentifizierungsalias jedoch anschließend aus der Aktivierungsspezifikation entfernen, wird die Steuerung wieder an die Standardkonfiguration übergeben (sofern sie nicht inaktiviert ist), und der Ressourcenadapter der Serviceintegration kann wieder auf den Bus zugreifen.

Die folgende Tabelle zeigt, ob der Serviceintegrationsressourcenadapter eine Verbindung zum gesicherten Bus herstellen kann. Ausschlaggebend hierfür ist der Status der verschiedenen Eigenschaften:

Tabelle 1. Zusammenfassung des erwarteten Verhaltens beim Zugriff auf einen sicheren Service Integration Bus. In der ersten Spalte der Tabelle wird angegeben, ob der sichere Service Integration Bus einen gültigen Authentifzierungsalias hat. Dies wird durch "Ja" bzw. "Nein" entsprechend angezeigt. In der zweiten Spalte wird durch "Ja" bzw. "Nein" entsprechend angegeben, ob die Eigenschaft "useServerSubject" ausgewählt ist oder nicht. In der dritten Spalte wird durch Angabe von "Ja" bzw. "Nein" angezeigt, ob die Servergruppe der Bus-Connector-Rolle hinzugefügt wurde. In der vierten Spalte können Sie anhand der Angaben von "Ja" bzw. "Nein" erkennen, ob der Ressourcenadapter eine Verbindung zum Bus herstellen kann. Diese Angaben ergeben sich aus den jeweiligen Kombinationen von "Ja" und "Nein" der ersten drei Spalten.
Gültiger Authentifizierungsalias Serversubjekt verwenden Gruppe "Server" in der Rolle "Bus-Connector" Verbindungsherstellung durch Ressourcenadapter möglich?
Ja Nein Nein Ja
Nein Ja Ja Ja
Nein Nein Ja Nein
Nein Nein Nein Nein
Nein Ja Nein Nein
Ja Ja Ja Ja (über den Authentifizierungsalias)

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rjw_security_defaults
Dateiname:rjw_security_defaults.html