WS-Notification の保護

WS-Notification セキュリティーの 実装では、WS-Notification サービスの要求にユーザー ID を 入れる必要があります。この ID は、クライアント・アプリケーションを認証する場合、および要求された操作の起動、 および基本となるサービス統合バス・トピック・スペースとトピック・リソースへのアクセスがクライアントに許可されていることを確認する場合に使用されます。

このタスクについて

WS-Notification では他の Web サービスと同じメカニズムを使用して、 認証 ID を提供します。例えば、WS-Security または HTTP 基本認証です。

WS-Notification へのセキュア・アクセスの構成は、次の 3 つの 段階に分かれています。
  • アプリケーションとサーバーの間の通信チャネルをセキュアにします。
  • アプリケーションが NotificationBroker を起動することを許可します。
  • アプリケーションがサービス統合バスのリソースにアクセスすることを許可します。

メッセージング・セキュリティーが有効になっていて、 かつ、WS-Security コンポーネントまたは HTTP 基本認証コンポーネントが WS-Notification 要求にユーザー ID を入れるように構成 されていない場合、それらの要求はすべて認証されていないものとして扱われ、 WebSphere® Application Server の「全員」グループによってアクセス可能なメッセージング・リソースにのみアクセスできます。

手順

  1. アプリケーションとサーバーの間の通信をセキュアにします。
    1. WS-Notification サービス・ポイントを構成することによって、インバウンド要求および関連する応答のためのセキュリティー を提供します。
    2. WS-Notification サービスを構成することによって、アウトバウンド要求 (例えば、 サブスクライブされたコンシューマーへのサーバーからの通知) のためのセキュリティーを提供します。
      • JAX-WS ベースのバージョン 7.0 WS-Notification サービスの場合、関係する手順は、 JAX-WS Web サービス・クライアントにセキュリティーを適用する手順と似ています。 異なる点は、WS-Notification サービスに、作成されたバインディングまたは構成が 適用されるということです。詳しくは、メッセージ・レベルのセキュリティーを使用した JAX-WS Web サービスの保護を参照してください。
      • JAX-RPC ベースのバージョン 6.1 WS-Notification サービスの場合、関係する手順は、 サービス統合バス対応の Web サービスのアウトバウンド・ポートにセキュリティーを適用する手順と似ています。 異なる点は、WS-Notification サービスに、作成されたバインディングまたは構成が 適用されるということです。詳しくは、バス対応 Web サービスの保護および そのサブトピック、特にHTTPS を介したアウトバウンド・サービスの呼び出しを 参照してください。
    3. WS-Security を使用して SOAP メッセージの署名または暗号化を行うこともできます。
  2. アプリケーションが NotificationBroker を起動することを許可します。
    1. 適切な ID を提供するようにクライアント・アプリケーションを構成します。
      Web サービス・アプリケーションがサーバーと通信することを許可するには、 アプリケーションが特定の認証 ID として実行されていることを証明する必要があります。このためのメカニズムは、 使用する Web サービス・バインディングのタイプによって異なります。
      • SOAP over HTTP Web サービス・バインディングを使用する場合、HTTP 基本認証または WS-Security を 使用して、認証 ID を提供します。
      • SOAP over JMS Web サービス・バインディングを (バージョン 6.1 WS-Notification サービスのために) 使用する場合、WS-Security を 使用して、認証 ID を提供します。
    2. 必要な操作を実行するためのクライアント・アプリケーション ID を許可をするようにサーバーを構成します。
  3. アプリケーションがサービス統合バスのリソースにアクセスすることを許可します。

    サービス統合バス・ セキュリティーは、ロール・ベースの許可を使用します。ユーザーにロールを割り当てると、そのロールに含まれるすべての権限がそのユーザーに付与されます。 メッセージング・セキュリティーが有効な場合は、許可権限を管理して、バスとそのリソースへのユーザー・アクセスを制御することができます。

    1. バス・コネクター・ロールの管理の説明に従って、サービス統合バスに接続できるようにアプリケーション ID を許可します。
    2. アプリケーションがバスに接続できる場合は、バスの適切な宛先にアプリケーションのアクセス権限を付与します。

      アプリケーションで使用されている WS-Notification トピック名前空間を確認し、 次に、適切な WS-Notification 永続トピック名前空間を確認して、マップ対象のサービス統合バス・トピック・スペースを探すことにより、 必要となるサービス統合バス・トピック・スペースを決定できます。次に、宛先ロールの管理の説明に従って、 トピック・スペースにアクセスするための認証 ID の権限 (例えば、sender や receiver ロール) を付与できます。

    3. 適当なトピック・スペース宛先へのアクセスをクライアント・アプリケーションに許可した後、 トピック・ロールの管理の説明に従って、トピック・スペース宛先内の個々のトピックにアクセスすることも クライアント・アプリケーションに許可する必要が生じる場合もあります。
    サービス統合バスへのアクセスの構成に関する一般的な情報については、サービス統合の保護を参照してください。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjwsn_sec
ファイル名:tjwsn_sec.html