WS-Notification sichern

Die WS-Notification-Sicherheitsimplementierung erfordert, dass eine Benutzer-ID in Anforderungen für WS-Notification-Services übergeben wird. Diese ID wird verwendet, um die Clientanwendung zu authentifizieren, um sicherzustellen, dass der Client berechtigt ist, die angeforderte Operation aufzurufen, und um auf die Topicbereiche und Topicressourcen des zugrunde liegenden Service Integration Bus zuzugreifen.

Informationen zu diesem Vorgang

WS-Notification verwendet dieselben Mechanismen wie andere Web-Services, um eine authentifizierte Identität bereitzustellen, z. B. WS-Security oder HTTP-Basisauthentifizierung.

Die Konfiguration eines sicheren Zugriffs auf WS-Notification setzt sich aus drei Teilen zusammen:
  • Sicherung des Kommunikationskanals zwischen der Anwendung und dem Server,
  • Berechtigung der Anwendung für den Aufruf des NotificationBroker,
  • Berechtigung der Anwendung für den Zugriff auf die Ressourcen des Service Integration Bus.

Wenn die Messaging-Sicherheit aktiviert ist und die Komponenten WS-Security und HTTP-Basisauthentifizierung so konfiguriert sind, dass keine Benutzer-ID in WS-Notification-Anforderungen übergeben wird, werden solche Anforderungen als nicht authentifiziert behandelt, und sie können nur auf Messaging-Ressourcen zugreifen, die für die Gruppe "Jeder" ("everyone") von WebSphere Application Server zugänglich sind.

Vorgehensweise

  1. Sichern Sie die Kommunikation zwischen der Anwendung und dem Server:
    1. Gewährleisten Sie die Sicherheit für eingehende Anforderungen und die zugehörigen Antworten, indem Sie den WS-Notification-Servicepunkt konfigurieren.
      • Für JAX-WS-basierte WS-Notification-Servicepunkte der Version 7.0 müssen Sie der Anwendung, die dem Servicepunkt zugeordnet ist, sicherheitsfähige Richtliniensätze zuordnen. Für JAX-RPC-basierte WS-Notification-Servicepunkte der Version 6.1 müssen Sie die Sicherheit für die Ports für eingehende Daten konfigurieren, die dem Servicepunkt zugeordnet sind.
      • Wenn Sie SOAP over HTTP als Bindung für Ihren WS-Notification-Servicepunkt verwenden, müssen Sie diese Einstellung ändern und die Verwendung von SOAP over HTTPS gemäß der Beschreibung im Artikel Sicheren Zugriff auf WS-Notification-Servicepunkte über SOAP over HTTPS konfigurieren festlegen.
      • Wenn Sie SOAP over JMS als Bindung (für WS-Notification-Services der Version 6.1) verwenden, konfigurieren Sie die JMS-Verbindungsfactory, die die Clientanwendung verwendet, um ein sicheres Kommunikationsprotokoll für die Kommunikation mit dem JMS-Provider zu verwenden. Die genaue Vorgehensweise richtet sich nach dem JMS-Provider. Wenn Sie den Service Integration Bus als JMS-Provider verwenden, konfigurieren Sie den Client so, dass er SSL für die Kommunikation mit dem Server verwendet, indem Sie die Einstellung Zieltransportkette für eingehende Daten auf InboundSecureMessaging setzen. Gehen Sie dabei gemäß der Beschreibung im Artikel So stellen JMS-Anwendungen eine Verbindung zu einer Messaging-Engine in einem Bus her und den zugehörigen Tasks vor.
    2. Gewährleisten Sie die Sicherheit für abgehende Anforderungen (z. B. Benachrichtigungen vom Server an subskribierte Konsumenten), indem Sie den WS-Notification-Service konfigurieren.
      • Für JAX-WS-basierte WS-Notification-Services der Version 7.0 sind die dazu erforderlichen Schritte, abgesehen davon, dass alle erstellten Bindungen und Konfigurationen auf den WS-Notification-Service angewendet werden, ähnlich wie beim Anwenden der Sicherheit auf JAX-WS-Web-Service-Clients. Nähere Informationen finden Sie im Artikel JAX-WS-Web-Services über Sicherheit auf Nachrichtenebene sichern.
      • Für JAX-RPC-basierte WS-Notification-Services der Version 6.1 sind die dazu erforderlichen Schritte, abgesehen davon, dass alle erstellten Bindungen und Konfigurationen auf den WS-Notification-Service angewendet werden, ähnlich wie beim Anwenden der Sicherheit auf Ports für abgehende Daten für SIB-fähige Web-Services. Weitere Informationen finden Sie im Artikel Busfähige Web-Services sichern und den zugehörigen Unterartikeln, insbesondere Abgehende Services über HTTPS aufrufen.
    3. Zum Signieren oder Verschlüsseln von SOAP-Nachrichten, die über HTTP- oder JMS-Bindungen übertragen werden, können Sie auch WS-Security verwenden.
  2. Berechtigen Sie die Anwendung für den Aufruf des NotificationBroker:
    1. Konfigurieren Sie die Clientanwendung so, dass sie eine entsprechende Identität bereitstellt.
      Um eine Web-Service-Anwendung für die Kommunikation mit dem Server zu berechtigen, muss die Anwendung unter einer bestimmten authentifizierten Identität ausgeführt werden, mit der sich identifiziert. Der Mechanismus, der hierfür verwendet wird, richtet sich nach dem Typ der verwendeten Web-Service-Bindung:
      • Wenn Sie Web-Service-Bindungen des Typs "SOAP over HTTP" verwenden, verwenden Sie für die Bereitstellung der authentifizierten Identität entweder die HTTP-Basisauthentifizierung oder WS-Security.
      • Wenn Sie Web-Service-Bindungen von Typ SOAP over JMS (für WS-Notification-Services der Version 6.1) verwenden, verwenden Sie für die Bereitstellung einer authentifizierten Identität WS-Security.
    2. Konfigurieren Sie den Server so, dass die Clientanwendungs-ID berechtigt ist, die erforderlichen Operationen auszuführen.
  3. Berechtigen Sie die Anwendung für den Zugriff auf die Ressourcen des Service Integration Bus.

    Der Service Integration Bus verwendet die rollenbasierte Berechtigung. Wenn ein Benutzer einer Rolle zugeordnet wird, erhält der Benutzer alle Berechtigungen, die diese Rolle beinhaltet. Durch die Verwaltung von Autorisierungsberechtigungen können Sie den Benutzerzugriff auf einen Bus und seine Ressourcen steuern, wenn die Messaging-Sicherheit aktiviert ist.

    1. Berechtigen Sie die Anwendungs-ID für die Herstellung einer Verbindung zum Service Integration Bus. Diesbezügliche Informationen finden Sie im Artikel Rolle "Bus-Connector" verwalten.
    2. Wenn die Anwendung eine Verbindung zum Bus herstellen kann, erteilen Sie der Anwendung Zugriff auf die entsprechenden Ziele im Bus.

      Sie können die erforderlichen Topicbereiche des Service Integration Bus bestimmen, indem Sie prüfen, welche WS-Notification-Topic-Namespaces von der Anwendung verwendet werden, und anschließend im entsprechenden permanenten WS-Notification-Topic-Namespace den zugeordneten SIB-Topicbereich suchen. Anschließend können Sie der authentifizierten Identität die Berechtigung (z. B. die Rolle "Sender" oder "Receiver") für den Zugriff auf diesen Topicbereich erteilen. Diesbezügliche Informationen finden Sie im Artikel Rollen für Ziele verwalten.

    3. Nachdem die Clientanwendung für den Zugriff auf die entsprechenden Ziele im Topicbereich berechtigt wurde, müssen Sie die Clientanwendung möglicherweise auch für den Zugriff auf die einzelnen Topics an das Ziel des Topicbereichs berechtigen. Diesbezügliche Informationen finden Sie im Artikel Rollen für Topics verwalten.
    Allgemeine Informationen zum Konfigurieren des Zugriffs auf den Service Integration Bus finden Sie im Artikel Serviceintegration sichern.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjwsn_sec
Dateiname:tjwsn_sec.html