Mediationssicherheit
Wenn die Bussicherheit aktiviert ist, sind Berechtigungen erforderlich, die sicherstellen, dass Mediationen sicher ausgeführt werden können und ihrerseits Messaging-Operationen in einem Service Integration Bus sicher ausführen können. Es gibt Verfahren, die für die Mediationssicherheit eingesetzt werden, und es sind Auswirkungen zu bemerken, wenn Mediationen in einem Bus ausgeführt werden, der mehrere Sicherheitsdomänen umfasst.
- Ein Busmember von WebSphere Application Server Version 7.0 oder höher verwendet ein LTPA-Token für die Authentifizierung der Messaging-Engine. Wenn ein Authentifizierungsalias angegeben ist, wird er verwendet, aber es ist kein Kennwort erforderlich.
- Ein Busmember der WebSphere Application Server Version 6 erfordert einen Authentifizierungsalias, um sicherzustellen, dass die Mediation aufgerufen werden kann. Weitere Informationen finden Sie im Artikel Bus für den Zugriff auf gesicherte Mediationen konfigurieren.
Wenn eine Anwendung eine Nachricht an den Bus sendet, wird die ID der Senderanwendung der Nachricht zugeordnet. Die Nachricht wird nur dann an das nächste Ziel im Routing-Pfad gesendet, wenn der Nachrichtenersteller die Senderberechtigung für dieses Ziel besitzt. Falls die Nachricht in irgendeiner Weise von einer Mediation am geplanten Ziel verarbeitet wird, wird die der Nachricht zugeordnete Identität standardmäßig beibehalten. Sie können die Mediation so programmieren, dass die Nachrichtenidentität auf die Identität zurückgesetzt wird, unter der der Mediationscode ausgeführt wird. Wenn das vermittelte Ziel beispielsweise die Grenze zwischen zwei Sicherheitsdomänen darstellt, ist die Senderanwendung nicht berechtigt, auf das vermittelte Ziel zuzugreifen. Durch die Übersetzung unterschiedlicher Identitäten in eine einzige Benutzeridentität können Sie den Zugriff zwischen den Sicherheitsdomänen steuern. Weitere Informationen zur Programmierung von Mediationen finden Sie im Artikel Mediationsprogrammierung. Weitere Informationen zur Verwendung der Methode "resetIdentity()" finden Sie im Artikel SIMediationSession.
Wenn Sie eine Mediation bei aktivierter Bussicherheit installieren, müssen Sie sicherstellen, dass die Identität, die der Bus für den Aufruf der Mediation verwendet, auf die Mediation zugreifen kann. Standardmäßig ist eine Mediation nicht authentifiziert. Sie können die Mediation für die Verwendung des Authentifizierungsalias konfigurieren, indem Sie mit den Assembliertools eine RunAs-Rolle angeben. Weitere Informationen finden Sie im Artikel Alternative Mediations-ID für einen Mediationshandler konfigurieren.
Wenn die Bussicherheit aktiviert ist und eine Mediation Nachrichten an ein Ziel sendet, benötigt die Mediations-ID die Berechtigung für den Zugriff auf das Ziel. Weitere Informationen hierzu finden Sie im Artikel Berechtigungen verwalten. Alle neuen Nachrichten, die von der Mediation gesendet werden, werden mit der Mediations-ID gesendet.
Wenn die Verwaltungssicherheit inaktiviert ist, ist keine Identität für die Mediation konfiguriert. Wenn die Bussicherheit aktiviert und die Verwaltungssicherheit inaktiviert ist, ist die Mediation nicht für den Zugriff auf Busziele authentifiziert.
Mediationen in mehreren Sicherheitsdomänen verwenden
Sie können Mediationen erfolgreich in einer Bustopologie ausführen, in der die Member eines Busses mehrere Sicherheitsdomänen umfassen. Die Sicherheitskonfiguration des Busses enthält eine Option mit dem Namen addUserServerIdForMediations, die die Ausführung von Mediationen unter einer Serveridentität ermöglicht. In diesem Fall ist kein Authentifizierungsalias für Mediationen erforderlich.
Mediationen werden als Anwendungen implementiert und in der vom Anwendungsserver verwendeten Domäne ausgeführt, nicht in der Busdomäne. Da der Authentifizierungsalias für Mediationen für den gesamten Bus gültig ist, müssen Sie, wenn Sie eine Mediaton für mehrere Server in verschiedenen Domänen ausführen, sicherstellen, dass die Benutzer-ID im Authentifizierungsalias für Mediationen in der Konfiguration jeder Domäne vorhanden ist. Alternativ können Sie die Option für die Serveridentität verwenden. Sie können diese Option auch verwenden, wenn mehrere Domänen nicht im Gebrauch sind.