Protección de WS-Notification

La implementación de la protección de WS-Notification requiere que la identidad de un usuario desemboque en peticiones de servicios WS-Notification. Esta identidad se utiliza para autenticar la aplicación cliente y comprobar que el cliente está autorizado a invocar la operación solicitada, y para acceder a los recursos de temas y espacios de temas del bus de integración de servicios subyacentes.

Acerca de esta tarea

WS-Notification utiliza los mismos mecanismos que otros servicios Web para proporcionar una identidad autenticada. Por ejemplo, WS-Security o Autenticación básica HTTP.

Hay tres partes en el proceso de configuración del acceso seguro a WS-Notification:
  • Protección del canal de comunicaciones entre la aplicación y el servidor.
  • Autorización a la aplicación para que invoque NotificationBroker.
  • Autorización a la aplicación para que acceda a los recursos del bus de integración de servicios.

Si la seguridad de mensajería está habilitada los componentes WS-Security o Autenticación básica HTTP no están configurados para dejar fluir una identidad de usuario en las solicitudes WS-Notification, todas las solicitudes se consideran como no autenticadas y sólo se puede acceder a los recursos de mensajería que son accesibles para el grupo "Todos" de WebSphere Application Server.

Procedimiento

  1. Proteja la comunicación entre la aplicación y el servidor:
    1. Proporcione seguridad para las peticiones de entrada y las respuestas asociadas configurando el punto de servicio WS-Notification.
    2. Proporcione la seguridad para peticiones de salida (por ejemplo, notificaciones del servidor a consumidores suscritos) mediante la configuración del servicio WS-Notification.
      • Para los servicios WS-Notification Versión 7.0 basados en JAX-WS, los pasos implicados son similares a los pasos necesarios para aplicar la seguridad a los clientes de servicios Web de JAX-WS, excepto que los enlaces o la configuración creados se aplican al servicio WS-Notification. Para obtener más información, consulte Protección de servicios web JAX-WS utilizando la seguridad a nivel de mensajes.
      • Para los servicios WS-Notification Versión 6.1 basados en JAX-RPC, los pasos implicados son similares a los pasos necesarios para aplicar la seguridad a los puertos de salida de servicios web habilitados para el bus de integración de servicios, excepto que los enlaces o la configuración creados se aplican al servicio WS-Notification. Para obtener más información, consulte Protección de servicios web habilitados para bus y sus subtemas, especialmente Invocación de servicios de salida sobre HTTPS.
    3. También puede utilizar WS-Security para firmar o cifrar mensajes SOAP.
  2. Autorice a la aplicación para que invoque NotificationBroker.
    1. Configure la aplicación cliente para proporcionar una identidad apropiada.
      Para autorizar a una aplicación de servicio web para que se comunique con el servidor, la aplicación se debe identificar a sí misma como si se ejecutara como una identidad autenticada concreta. El mecanismo para hacerlo depende del tipo de enlace de servicio web que esté utilizando:
      • Si utiliza enlaces de servicios Web SOAP sobre HTTP, utilice Autenticación básica HTTP o WS-Security para proporcionar la identidad autenticada.
      • Si utiliza enlaces de servicios Web SOAP sobre JMS (para servicios WS-Notification Versión 6.1), utilice WS-Security para proporcionar una identidad autenticada.
    2. Configure el servidor para autorizar a la identificación de la aplicación cliente a que lleve a cabo las operaciones necesarias.
  3. Autorice a la aplicación para que acceda a los recursos del bus de integración de servicios.

    La seguridad del bus de integración de servicios utiliza una autenticación basada en roles. Cuando se asigna un usuario a un rol, se otorgan al usuario todos los permisos que contiene el rol. Mediante la administración de permisos de autorización puede controlar el acceso de los usuarios a un bus y sus recursos cuando la seguridad de mensajería está inhabilitada.

    1. Autorice a la identidad de aplicación para que se pueda conectar al bus de integración de servicios, como se describe en Administración del rol de conector de bus.
    2. Cuando la aplicación puede conectarse al bus, otorgue a la aplicación acceso a los destinos adecuados del bus.

      Puede determinar qué espacios de temas de bus de integración de servicios son necesarios, comprobando qué espacios de nombres de tema WS-Notification utiliza la aplicación, y luego examinar el espacio de nombres de tema permanente WS-Notification adecuado para encontrar el espacio de temas del bus de integración de servicios al que está correlacionado. A continuación puede otorgar autorización (por ejemplo, los roles remitente y destinatario) para la identidad autenticada para acceder a este espacio de temas, como se describe en Administración de roles de destino.

    3. Después de que se haya autorizado a la aplicación cliente a acceder al destino de espacio de temas adecuado, es posible que también sea necesario autorizar a la aplicación cliente a acceder a los temas individuales dentro del destino de espacio de temas, como se describe en Administración de roles de temas.
    Si desea información general sobre cómo configurar el acceso al bus de integración de servicios, consulte Protección de la integración de servicios.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjwsn_sec
File name: tjwsn_sec.html