Planificación de la seguridad de integración de servicios
Cuando esté planificando la seguridad del sistema de mensajería, el rango de opciones disponibles se puede describir a través de un conjunto de preguntas frecuentes.
- ¿Cómo se protege el bus?
- ¿Quién tiene autorización para acceder al bus?
- ¿Quién tiene autorización para acceder a los destinos de bus?
- ¿Qué conexiones se deben proteger?
- ¿Qué ID de usuario están almacenados en los mensajes que fluyen entre el bus y los buses foráneos?
- ¿Qué nivel de seguridad del almacén de datos necesito?
Si utiliza la integración de servicios con los servicios web, consulte Protección de servicios web habilitados para bus.
- ¿Cómo se protege el bus?
- Si la seguridad global de WebSphere Application Server está habilitada y se ha configurado un registro de usuarios, un bus de integración de servicios recién creado está protegido de forma predeterminada. El distintivo Habilitar seguridad del bus en la definición de bus está seleccionado de forma predeterminada. Esto significa que el motor de mensajería autentica todas las aplicaciones cliente que establecen la conexión y realiza comprobaciones de autorización en cada aplicación cliente que intenta acceder a los recursos del bus. Si desea más información sobre cómo habilitar la seguridad del bus, consulte Seguridad de mensajería.
Cuando cree un bus nuevo o desee proteger un bus existente, el asistente de seguridad del bus le solicitará que especifique un dominio de seguridad. El dominio de seguridad contiene los valores de seguridad del bus. Puede especificar el dominio global predeterminado, o un dominio alternativo, dependiendo de las versiones de los miembros de bus:
- Dominio global
- Es el dominio de seguridad predeterminado. Debe especificar el dominio global para buses con versiones mixtas.
- Dominios de nivel de célula y personalizado
- Si el bus sólo contiene miembros de bus de WebSphere Application Server Versión 7.0 o posterior, puede configurar el bus para que utilice el dominio de seguridad predeterminado de la célula o bien un dominio de seguridad personalizado. Un dominio de seguridad personalizado normalmente contiene valores de seguridad que son específicos de un determinado bus. Puede configurar dominios de seguridad adicionales e independientes para aplicaciones de usuario, como por ejemplo UserRepository. Si desea más información sobre cómo utilizar varios dominios de seguridad para el bus, consulte Seguridad de mensajería y varios dominios de seguridad.
- ¿Quién tiene autorización para acceder al bus?
- Cuando una aplicación cliente intenta conectarse al bus, el motor de mensajería autentica las credenciales (una identidad y contraseña) de la aplicación cliente respecto al registro de usuarios. Si el cliente se autentica satisfactoriamente, el motor de mensajería comprueba si el cliente tiene autorización para conectarse al bus. Cada aplicación cliente que tiene una identidad de usuario y contraseña válidas en el registro de usuarios puede autenticarse satisfactoriamente, pero puede que no desee que cada aplicación cliente tenga la autoridad para conectarse al bus. Para controlar el acceso al bus, debe otorgar autorización a aplicaciones cliente específicas en el rol de conector de bus para el bus. Cree un grupo en el registro de usuarios, añada las identidades de las aplicaciones cliente al grupo y, a continuación, añada el grupo al rol de conector de bus para el bus. Para obtener más información, consulte Administración del rol de conector de bus.
- ¿Quién tiene autorización para acceder a los destinos de bus?
- Para cada destino, debe decidir qué clientes requieren autoridad para llevar a cabo operaciones en un destino de bus, y qué operaciones (o roles) deben realizar. La autorización se otorga añadiendo grupos y miembros de grupo a roles. Por ejemplo, si desea que un grupo de aplicaciones cliente llamado MyGroup envíe mensajes a una cola de destino llamada MyQueue, añada MyGroup al rol de emisor para MyQueue. Para obtener más información, consulte Administración de roles de destino.
Puede definir un conjunto de permisos predeterminados que se aplican a cada destino de un bus. Por ejemplo, si desea autorizar a todos los miembros de un grupo llamado MyMediations para que envíen mensajes a todos los destinos de un bus seleccionado, puede añadir MyMediations al rol de emisor predeterminado. De forma predeterminada, todos los destinos locales heredan los roles del recurso predeterminado. Puede elegir alterar temporalmente la herencia predeterminada de los destinos seleccionados. Si desea más información sobre roles predeterminados, consulte Administración de los roles predeterminados. Si desea más información sobre cómo alterar temporalmente la herencia de rol predeterminado, consulte Inhabilitación de la herencia desde el recurso predeterminado.
Si un grupo de aplicaciones cliente publican y se suscriben a temas, los temas existirán en un espacio de temas. Las identidades de todos los clientes que publican en un tema deben pertenecer a un grupo que tiene el rol de emisor para el espacio de temas. Todas las aplicaciones cliente que se suscriben a un tema deben pertenecer a un grupo que tiene el rol de receptor en el espacio de temas. Para obtener más información, consulte Administración de roles raíz de espacios de temas.De forma predeterminada, también hay comprobaciones de los permisos de autorización en el nivel de tema. Puede inhabilitar la comprobación a nivel de tema o determinar qué grupos de aplicaciones cliente desea autorizar para que accedan a temas seleccionados.
- ¿Qué conexiones se deben proteger?
- Determine qué conexiones entre las siguientes se van a proteger con SSL:
- Conexiones entre los clientes y los servidores (motores de mensajería).
- Conexiones entre motores de mensajería en un bus.
- Conexiones entre buses.
Para obtener más información, consulte Protección de mensajes entre buses de mensajería.
- ¿Qué ID de usuario están almacenados en los mensajes que fluyen entre el bus y los buses foráneos?
- Cuando se envía un mensaje, el ID de usuario del emisor se almacena en el mensaje y se utiliza para las comprobaciones de control de accesos posteriores realizadas en el mensaje. Cuando existe un enlace entre buses, puede configurar el ID de entrada y el ID de salida del enlace para controlar qué ID de usuario se almacena en los mensajes que fluyen entre los buses locales y los buses foráneos. El ID de entrada sustituye el ID de usuario de todos los mensajes que fluyen a través del enlace hacia el bus. El ID de entrada se utiliza para controlar el acceso a los mensajes dentro del bus. Podría desear configurar un ID de entrada por los motivos siguientes:
- El bus local y el bus foráneo existen en dominios de seguridad distintos.
- El bus foráneo no es seguro.
- Puede gestionar más fácilmente el control de accesos cuando todos los mensajes tienen el mismo ID de usuario.
El ID de salida sustituye el ID de usuario de todos los mensajes que fluyen a través del enlace fuera del bus. Es posible que desee configurar el ID de salida si desea impedir que el ID de usuario original se transporte en los mensajes del bus foráneo.
Para obtener más información, consulte Protección de enlaces entre motores de mensajería.
- ¿Qué nivel de seguridad del almacén de datos necesito?
- El sistema de mensajería puede utilizar un almacén de datos (base de datos) para almacenar mensajes en un disco. Los mensajes del almacén de datos pueden protegerse mediante un nombre de usuario y una contraseña. Debe valorar si con ello dispone de seguridad suficiente para el almacén de datos. La datos podría proporcionar opciones de seguridad adicionales, por ejemplo el cifrado de datos. Para obtener más información, consulte Protección del acceso a la base de datos.