Seguridad de las mediaciones
Cuando la seguridad de bus está habilitada, los permisos de autorización son necesarios para garantizar que las mediaciones se pueden ejecutar y realizar las operaciones de mensajería de forma segura en un bus de integración de servicios. Existen mecanismos para la seguridad de mediaciones y las implicaciones para ejecutar las mediaciones en un bus que abarca varios dominios de seguridad.
- Un miembro de bus WebSphere Application Server Versión 7.0 o posterior utiliza una señal LTPA para la autenticación de motor de mensajería. Si se especifica un alias de autenticación, se utiliza pero no hace falta ninguna contraseña.
- Un miembro de bus WebSphere Application Server Versión 6 requiere un alias de autenticación para asegurar que la mediación puede invocarse. Para obtener más información, consulte Configuración del bus para acceder a las mediaciones protegidas.
Cuando una aplicación envía un mensaje al bus, la identidad de la aplicación emisora se asocia al mensaje. El mensaje se envía al destino siguiente en la ruta de direccionamiento de reenvío, siempre que el originador del mensaje tenga la autoridad Sender para dicho destino. Si una mediación procesa el mensaje de algún modo en el destino señalado, la identidad asociada con el mensaje se conserva de forma predeterminada. Puede programar la mediación para que restaure la identidad del mensaje en la identidad bajo la cual se ejecuta la memoria caché de la mediación. Por ejemplo, si el destino mediado representa el límite entre dos dominios de seguridad, la aplicación emisora no tiene autorización para acceder al destino mediado. Al convertir diferentes identidades en una sola identidad de usuario, puede controlar los accesos entre dominios de seguridad. Para obtener más información acerca de las mediaciones de programación, consulte la sección Programación de mediaciones. Para obtener más información acerca del uso del método resetIdentity(), consulte la sección SIMediationSession.
Al instalar una mediación para ser utilizada cuando la seguridad de bus está habilitada, debe asegurarse de que la identidad utilizada por el bus para llamar a la mediación puede acceder a la mediación. De forma predeterminada, una mediación no está autenticada. Puede configurarla para que utilice el alias de autenticación de mediaciones; para ello, configure un rol RunAs mediante las herramientas de ensamblaje. Para obtener más información, consulte Configuración de una identidad de mediación alternativa para un manejador de mediación.
Si está habilitada la seguridad de bus, y un mediación envía mensajes a un destino, la identidad de mediación requiere la autoridad para acceder al destino. Para obtener más información, consulte Administración de los permisos de autorización. Cualquier mensaje que envíe la mediación se envía utilizando la identidad de la mediación.
Si no se ha habilitado la seguridad administrativa, no se configura una identidad para la mediación. Si se habilita la seguridad del bus y no se ha habilitado la seguridad administrativa, no se autoriza la mediación para acceder a los destinos de bus.
Utilización de mediaciones en varios dominios de seguridad
Puede ejecutar mediaciones correctamente en una topología de bus, donde los miembros de un bus abarcan varios dominios de seguridad. La configuración de seguridad del bus proporciona una opción, llamada addUserServerIdForMediations, para permitir que las mediaciones se ejecuten bajo una identidad de servidor. En este caso, no es necesario un alias de autenticación de mediación.
Las mediaciones se despliegan como aplicaciones, y se ejecutan en el dominio utilizado por el servidor de aplicaciones, no en el dominio de bus. Dado que el alias de autenticación de mediación se aplica a todo el bus, si ejecuta una mediación en varios servidores en distintos dominios, debe asegurarse de que la identidad de usuario del alias de autenticación de mediación existe en la configuración para cada dominio. De forma alternativa, puede elegir utilizar la opción de la identidad de servidor. Puede utilizar esta opción, aunque no se estén utilizando varios dominios.