Configuration par défaut des services Web activés par un bus pour l'accès à un bus sécurisé
Par défaut, le composant des services Web activés par un bus peut accéder à un bus d'intégration de services sécurisé. Cela signifie que les clients de services Web qui fournissent les justificatifs appropriés lors de l'émission des demandes peuvent utiliser les services Web activés par un bus lorsque la sécurité du bus est activée. Vous pouvez modifier ou remplacer la configuration par défaut, par exemple en définissant un alias d'authentification que l'adaptateur de ressources d'intégration de services utilise pour accéder au bus.
- L'accès à un bus est configuré via le rôle de connecteur de bus. Par défaut, chaque rôle de connecteur de bus inclut un groupe appelé serveur. Les membres de ce groupe sont autorisés à se connecter au bus.
- L'adaptateur de ressources d'intégration de services utilise une spécification d'activation J2C pour communiquer avec le bus. Par défaut, cette spécification d'activation possède la propriété personnalisée booléenne useServerSubject à laquelle la valeur true est attribuée. Cette propriété permet à l'adaptateur de ressources d'intégration de services de se connecter au bus en tant que sujet (membre) du groupe de serveurs.
Le groupe de serveurs dans le rôle de connecteur de bus
Ce groupe détermine si un utilisateur est autorisé ou non à se connecter à un bus. Le groupe de serveurs peut être ajouté ou supprimé à l'aide de la console d'administration :
addGroupToBusConnectorRole
removeGroupFromBusConnectorRole
La propriété useServerSubject
Cette propriété booléenne se trouve dans le panneau des propriétés personnalisées de la spécification d'activation J2C associée au service entrant, sortant ou de passerelle :
Cette propriété peut également être définie à l'aide de scripts de commande wsadmin.
Désactivation et substitution de la configuration par défaut
Pour désactiver la configuration par défaut, attribuez la valeur "false" à la propriété useServerSubject au lieu de supprimer le groupe de serveurs, car l'adaptateur de ressources d'intégration de services n'est pas la seule ressource système qui utilise le sujet du serveur. Si vous supprimez le groupe de serveurs du rôle de connecteur de bus, alors aucune ressource système ne pourra utiliser le sujet de serveur.
Vous pouvez également remplacer la configuration par défaut en définissant un alias d'authentification que l'adaptateur de ressources d'intégration de services utilise pour accéder au bus. L'utilisation d'un alias d'authentification n'améliore pas la sécurité de votre configuration. Cependant, vous pouvez utiliser un alias pour la cohérence de l'approche si d'autres serveurs d'applications s'exécutent sous WebSphere Application Server Version 6.0.x ou pour gérer vos commandes métier internes afin d'utiliser des ID utilisateur et des mots de passe.
Si vous configurez un alias d'authentification, vous n'êtes pas obligé de désactiver la configuration par défaut. Si un alias d'authentification existe, il remplacera la configuration par défaut. Cependant, si, par la suite, vous supprimez l'alias d'authentification de la spécification d'activation, la configuration par défaut prendra à nouveau le contrôle et (si elle n'est pas désactivée) autorisera l'adaptateur de ressources service à continuer d'accéder au bus.
Le tableau suivant indique si l'adaptateur de ressources d'intégration de services peut ou non se connecter au bus sécurisé, en fonction de l'état des différentes propriétés :
Alias d'authentification valide | useServerSubject | Groupe de serveurs dans le rôle de connecteur de bus | Connexion de l'adaptateur de ressources ? |
---|---|---|---|
Yes | Non | Non | Yes |
Non | Yes | Yes | Yes |
Non | Non | Yes | Non |
Non | Non | Non | Non |
Non | Yes | Non | Non |
Yes | Yes | Yes | Oui (à l'aide de l'alias d'authentification) |