Configuración predeterminada de servicios web habilitados para bus para acceder a un bus seguro

De forma predeterminada, el componente de servicios web habilitado para bus puede acceder a un bus de integración de servicios seguro. Esto significa que los clientes de servicios Web, si proporcionan las credenciales adecuados cuando realizan peticiones, pueden utilizar los servicios web habilitados para bus cuando está habilitada la seguridad. Puede modificar o alterar temporalmente la configuración predeterminada, por ejemplo, definiendo un alias de autenticación que utiliza el adaptador de recursos de integración de servicios para acceder al bus.

Nota: Para utilizar los servicios web habilitados para el bus cuando la seguridad de bus está habilitada, los clientes de servicios web deben proporcionar credenciales idóneas cuando realizan solicitudes. Los clientes pueden proporcionar credenciales o utilizando WS-Security o utilizando la autenticación básica de HTTP, tal como se describe en Autenticación de clientes de servicios web con autenticación básica de HTTP. Para la autenticación básica HTTP, la seguridad de aplicaciones también debe estar habilitada y, en función de los esquemas de autenticación que utilice, la aplicación del escucha de punto final debe estar configurada de forma apropiada tal como se describe en Servicios de entrada de protección por contraseña. Si utiliza la autenticación básica HTTP, correlacione el rol AuthenticatedUsers con el grupo especial "AllAuthenticatedUsers" (o con algún otro grupo o usuario autenticado idóneo); si utiliza WS-Security, no tiene que correlacionar el rol AuthenticatedUsers del escucha de punto final, a menos que esté habilitada la seguridad de la aplicación, en cuyo caso correlacione el rol AuthenticatedUsers con el grupo especial "Todos". Para obtener más información, consulte el apartado Asignación de usuarios y grupos a roles.
La configuración predeterminada que utiliza el componente de servicios web habilitados para el bus para acceder a un bus seguro es la siguiente:
  • El acceso a un bus se configura a través del rol de conector de bus. De forma predeterminada,cada rol de conector de bus incluye un grupo llamado servidor. Los miembros de este grupo tienen autorización para conectarse al bus.
  • El adaptador de recursos de integración de servicios utiliza una especificación de activación J2C para comunicarse con el bus. De forma predeterminada,esta especificación de activación tiene una propiedad personalizada booleana useServerSubject que se establece en true. Esta propiedad permite al adaptador de recursos de integración de servicios conectarse al bus como sujeto (un miembro) del grupo de servidores.

El grupo de servidores en el rol de conector de bus

Este grupo controla si un usuario está autorizado o no a conectarse al bus. El grupo de servidores puede añadirse o eliminarse utilizando la consola administrativa:

Integración de servicios -> Buses -> valor_seguridad -> [Política de autorización] Usuarios y grupos del rol de conector de bus

Este grupo también se puede establecer utilizando los scripts siguientes del mandato wsadmin:

addGroupToBusConnectorRole
removeGroupFromBusConnectorRole

La propiedad useServerSubject

Esta propiedad booleana se ha encontrado en el panel de propiedades personalizada s de la especificación de activación J2C asociada al servicio de entrada, salida o de pasarela:

Recursos -> Adaptadores de recursos -> Especificaciones de activación J2C -> nombre_especificación_activación -> [Propiedades adicionales] Propiedades personalizadas de la especificación de activación J2C

Esta propiedad también se puede establecer utilizando los scripts del mandato wsadmin.

Inhabilitación y alteración temporal de la configuración predeterminada

Para inhabilitar la configuración predeterminada, establezca la propiedad useServerSubject en "false" en vez de eliminar el grupo de servidores, porque el adaptador de recursos de integración de servicios no es el único recurso del sistema que utiliza el sujeto del servidor. Si elimina el grupo de servidores del rol de conector de bus, ningún recurso del sistema podrá utilizar el sujeto del servidor.

También puede alterar temporalmente la configuración predeterminada definiendo un alias de autenticación que utiliza el adaptador de recursos de integración de servicios para acceder al bus. El uso de un alias de autenticación no hace que la configuración sea más segura. Sin embargo, puede que desee utilizar un alias para ser coherente en el enfoque si hay otros servidores de aplicaciones en ejecución bajo WebSphere Application Server Versión 6.0.x, o para dar soporte a los controles empresariales internos para el uso de ID y contraseñas.

Si configura un alias de autenticación, no es necesario inhabilitar la configuración predeterminada. Si existe un alias de autenticación, éste altera temporalmente la configuración predeterminada. Sin embargo, si posteriormente elimina el alias de autenticación de la especificación de activación, la configuración predeterminada volverá a obtener el control y (si no está inhabilitado) permitirá al adaptador de recursos de integración de servicios continuar accediendo al bus.

En la tabla siguiente se muestra si el adaptador de recursos de integración de servicios puede conectarse al bus seguro, en función del estado de las distintas propiedades:

Tabla 1. Resumen del comportamiento esperado para acceder a un bus de integración de servicios seguro. La primera columna de esta tabla muestra si el bus de integración de servicios seguro tiene un alias de autenticación válido, que se indica mediante Sí o No, como corresponda. La segunda columna indica si está seleccionada la propiedad useServerSubject, que se indica mediante Sí o No, como corresponda. La tercera columna indica si se ha añadido el grupo de servidores al rol de conector de bus, que se indica mediante Sí o No, como corresponda. La cuarta columna muestra, para cada una de las combinaciones de valores Sí y No determinadas en las tres primeras columnas, si se puede conectar el adaptador de recursos al bus, que se indica mediante Sí o No, como corresponda.
Alias de autenticación válido useServerSubject Grupo de servidores en rol de conector de bus ¿Puede conectarse el adaptador de recursos?
No No
No
No No No
No No No No
No No No
Sí (utilizando el alias de autenticación)

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rjw_security_defaults
File name: rjw_security_defaults.html