Sécurité des médiations
Si la sécurité du bus est activée, les droits d'accès sont obligatoires pour s'assurer que les médiations peuvent fonctionner et pour réaliser les opérations de messagerie en toute sécurité sur un bus d'intégration de services. Il existe des mécanismes de sécurité pour les médiations ainsi que des implications liées à l'exécution des médiations sur un bus qui étend plusieurs domaines de sécurité.
- Un membre de bus WebSphere Application Server Version 7.0 ou ultérieures utilise un jeton LTPA pour authentifier un moteur de messagerie. Si un alias d'authentification est spécifié, il est utilisé, mais aucun mot de passe n'est requis.
- Un membre de bus WebSphere Application Server Version 6 requiert un alias d'authentification pour que la médiation puisse être appelée. Pour plus d'informations, voir Configuration du bus pour accéder à des médiations sécurisées.
Si une application envoie un message au bus, l'identité de l'application émettrice est associée à ce message. Le message est envoyé à la prochaine destination du chemin de routage de transmission si l'émetteur du message dispose de droits d'envoi (Sender) à cette destination. Si, à la destination cible, une méditation applique un traitement quelconque au message, par défaut, l'identité associée à ce message est conservée. Vous pouvez programmer la médiation pour qu'elle redéfinisse l'identité du message avec l'identité sous laquelle s'exécute le code de la médiation. Ainsi, si la destination objet de la médiation représente la frontière entre deux domaines de sécurité, l'application émettrice n'est pas autorisée à accéder à cette destination. En traduisant des identités différentes en une même identité utilisateur, vous pouvez contrôler l'accès entre des domaines de sécurité. Pour plus d'informations sur la programmation des médiations, voir Programmation des médiations. Pour plus d'informations sur l'utilisation de la méthode resetIdentity(), voir SIMediationSession.
Si vous installez une médiation à utiliser lorsque la sécurité du bus est activée, vous devez vous assurer que l'identité utilisée par le bus pour appeler la médiation peut accéder à la médiation. Par défaut, une médiation n'est pas authentifiée. Vous pouvez la configurer pour utiliser l'alias d'authentification de médiation en définissant un rôle RunAs à l'aide des outils d'assemblage. Pour plus d'informations, voir Configuration d'une autre identité de médiation pour un gestionnaire de médiations.
Si la sécurité du bus est activée et qu'une médiation envoie des messages à une destination, l'identité de la médiation a besoin des droits d'accès à la destination. Pour plus d'informations, voir Administration des droits d'accès. Les nouveaux messages envoyés par la médiation le sont à l'aide de l'identité de la médiation.
Si la sécurité administrative est désactivée, aucune identité n'est configurée pour la médiation. Si la sécurité du bus est activée et que la sécurité administrative est désactivée, la médiation n'est pas authentifiée pour l'accès aux destinations de bus.
Utilisation des médiations dans plusieurs domaines de sécurité
Vous pouvez exécuter des médiations dans une topologie en bus dans laquelle les membres d'un bus étendent plusieurs domaines de sécurité. La configuration des paramètres de sécurité du bus fournit l'option addUserServerIdForMediations qui permet d'exécuter les médiations sous une identité de serveur. Dans ce cas, un alias d'authentification de médiation n'est pas obligatoire.
Les médiations sont déployées en tant qu'applications et s'exécutent dans le domaine utilisé par le serveur d'applications, et non le domaine du bus. L'alias d'authentification de médiation s'appliquant à l'ensemble du bus, si vous lancez une médiation sur plusieurs serveurs dans différents domaines, vous devez vous assurer que l'identité de l'utilisateur de l'alias d'authentification de la médiation existe dans la configuration de chaque domaine. Par ailleurs, vous pouvez choisir d'utiliser l'option d'identité du serveur. Vous pouvez utiliser cette option même si plusieurs domaines ne sont pas en cours d'utilisation.