Bus-enabled web services default configuration for accessing a secure bus

By default, the bus-enabled web services component can access a secure service integration bus. This means that your Web services clients, if they provide suitable credentials when making requests, can use bus-enabled web services when bus security is enabled. You can modify or override the default configuration, for example by defining an authentication alias that the service integration resource adapter uses to access the bus.

Note: Para utilizar os serviços da Web ativados para barramento quando a segurança de barramento estiver ativada, seus clientes de serviço da Web devem fornecer credenciais adequadas ao se fazer solicitações. Seus clientes podem fornecer credenciais usando o WS-Security ou usando a autenticação básica de HTTP, conforme descrito em Autenticando Clientes de Serviços da Web Utilizando Autenticação Básica HTTP. Para a autenticação básica de HTTP, a segurança do aplicativo também deve ser ativada e, dependendo de qual desses esquemas de autenticação for usado, o aplicativo do listener do terminal deverá ser apropriadamente configurado, conforme descrito em Protegendo com Senha os Serviços de Entrada. Ao usar a autenticação básica de HTTP, você mapeia a função AuthenticatedUsers para o grupo especial "AllAuthenticatedUsers" (ou para algum outro grupo ou usuário autenticado apropriado); ao usar o WS-Security você não precisa mapear a função do listener do terminal AuthenticatedUsers, a não ser que Segurança do Aplicativo esteja ativada, caso no qual você mapeia a função AuthenticatedUsers para o grupo especial "Todos". Para obter informações adicionais, consulte Atribuindo usuários e grupos a funções.
A configuração padrão que o componente de serviços da Web ativado para barramento utiliza para acessar um barramento seguro é a seguinte:
  • O acesso a um barramento é configurado por meio da função do conector de barramento. Por padrão, toda função de conector de barramento inclui um grupo chamado servidor. Os membros desse grupo têm autorização para conectar-se ao barramento.
  • O adaptador de recursos da integração de serviços usa uma especificação de ativação de J2C para se comunicar com o barramento. Por padrão, esta especificação de ativação possui uma propriedade customizada booleana useServerSubject que está definida como true. Essa propriedade permite que o adaptador de recursos da integração de serviços conecte-se ao barramento como um objeto (um membro) do grupo de servidores.

The server group in the bus connector role

This group controls whether a user is authorized to connect to the bus. The server group can be added or removed by using the administrative console:

Integração de serviços -> Barramentos -> security_value -> [Política de Autorização] Usuários e grupos na função do conector de barramento

This group can also be set by using the following wsadmin command scripts:

addGroupToBusConnectorRole
removeGroupFromBusConnectorRole

The useServerSubject property

This boolean property is found in the custom properties panel of the J2C activation specification associated with the inbound, outbound or gateway service:

Recursos -> Adaptadores de Recursos -> Especificações de ativação J2C -> activation_specification_name -> [Propriedades Adicionais] Propriedades customizadas de especificação de ativação de J2C

This property can also be set by using wsadmin command scripts.

Disabling and overriding the default configuration

To disable the default configuration, set the useServerSubject property to "false" rather than removing the server group, because the service integration resource adapter is not the only system resource that uses the server subject. If you remove the server group from the bus connector role, then no system resources can use the server subject.

You can also override the default configuration by defining an authentication alias that the service integration resource adapter uses to access the bus. Usar um alias de autenticação não torna sua configuração mais segura. No entanto, você poderá desejar usar um alias para a consistência de abordagem, se tiver outros servidores de aplicativos em execução no WebSphere Application Server Versão 6.0.x ou para suportar seus controles de negócios internos para o uso dos IDs e senhas.

Se você configurar um alias de autenticação, não será necessário desativar a configuração padrão. Se existir um alias de autenticação, ele substituirá a configuração padrão. Entretanto, se posteriormente remover o alias de autenticação da especificação de ativação, a configuração padrão novamente assumirá o controle e (se não desativado) permitirá que o adaptador de recursos da integração de serviços continue a acessar o barramento.

The following table shows whether the service integration resource adapter can connect to the secured bus, depending on the state of the different properties:

Table 1. Summary of expected behavior for accessing a secure service integration bus. The first column of this table shows whether or not the secure service integration bus has a valid authentication alias, indicated by Yes or No as appropriate. The second column indicates whether or not the useServerSubject property is selected, indicated by Yes or No as appropriate. The third column shows whether or not the server group has been added to the bus connector role, indicated by Yes or No as appropriate. The fourth column shows, for each of the combinations of Yes and No settings given in the first three columns, whether or not the resource adapter can connect to the bus, indicated by Yes or No as appropriate.
Valid authentication alias useServerSubject Server group on bus connector role Resource adapter can connect?
Yes No No Yes
No Yes Yes Yes
No No Yes No
No No No No
No Yes No No
Yes Yes Yes Yes (using the authentication alias)

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: July 9, 2016 7:51
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rjw_security_defaults
Nome do arquivo: rjw_security_defaults.html