Segurança de Mediações

Quando a segurança do barramento é ativada, as permissões de autorização são necessárias para garantir que as mediações possam ser executadas e que possam assumir operações do sistema de mensagens, de forma segura, em um barramento de integração de serviços. Existem mecanismos para a segurança da mediação e implicações para a execução de mediações em um barramento que abranja múltiplos domínios de segurança.

Quando a segurança de barramento está ativada, o mecanismo do sistema de mensagens deve estar autorizado a acessar a mediação. A autorização é concedida usando um alias de autenticação de mediações ou um token LTPA, dependendo da versão do membro de barramento:
  • Um membro de barramento do WebSphere Application Server Versão 7.0 ou posterior usa um token LTPA para a autenticação do mecanismo do sistema de mensagens. Se um alias de autenticação for especificado, ele será usado mas uma senha não será requerida.
  • Um membro de barramento do WebSphere Application Server Versão 6 requer um alias de autenticação para garantir que a mediação possa ser chamada. Para obter mais informações, consulte Configurando o Barramento para Acessar Mediações Seguras.

Quando um aplicativo envia uma mensagem ao barramento, a identidade do aplicativo emissor é associada à mensagem. A mensagem será enviada para o próximo destino no caminho de roteamento redirecionado desde que o originador da mensagem tenha autoridade de Emissor para esse destino. Se uma mediação processar a mensagem de alguma maneira no destino alvo, a identidade associada à mensagem será preservada por padrão. É possível programar a mediação para reconfigurar a identidade da mensagem para a identidade na qual o código de mediação é executado. Por exemplo, se o destino mediado representar o limite entre dois domínios de segurança, o aplicativo do emissor não será autorizado a acessar o destino mediado. Ao converter as diferentes identidades em uma única identidade de usuário, você poderá controlar o acesso entre os domínios de segurança. Para obter informações adicionais sobre a programação de mediações, consulte Programação de Mediação. Para obter mais informações sobre o uso do método resetIdentity(), consulte SIMediationSession.

Quando você instala uma mediação para uso quando a segurança de barramento é ativada, deve garantir que a identidade seja usada pelo barramento para que a chamada de mediação possa acessar a mediação. Por padrão, uma mediação não é autenticada. É possível configurá-la para usar o alias de autenticação de mediações especificando uma função RunAs usando as ferramentas de montagem. Para obter mais informações, consulte Configurando uma Identidade de Mediação Alternativa para uma Rotina de Tratamento de Mediação.

Se a segurança de barramento estiver ativada, e uma mediação estiver enviando mensagens para um destino, a identidade da mediação exigirá autoridade para acessar o destino. Para obter mais informações, consulte Administrando Permissões de Autorização. Todas as mensagens novas enviadas pela mediação são enviadas utilizando a identidade da mediação.

Se a segurança administrativa for desativada, uma identidade não será configurada para a mediação. Se a segurança de barramento for ativada, e a segurança administrativa estiver desativada, a mediação não será autenticada para acessar os destinos do barramento.

Utilizando Mediações em Vários Domínios de Segurança

É possível executar mediações com êxito em uma topologia de barramento na qual os membros de um barramento se estendem por vários domínios de segurança. A configuração de segurança do barramento fornece uma opção, chamada addUserServerIdForMediations, para permitir que as mediações executem em uma identidade do servidor. Nesse caso, um alias de autenticação de mediação não é necessário.

As mediações são implementadas como aplicativos e executadas no domínio utilizado pelo servidor de aplicativos, não no domínio do barramento. Devido ao fato de o alias de autenticação de mediação ser aplicado ao barramento inteiro, se executar uma mediação em servidores múltiplos, em domínios diferentes, será necessário garantir que a identidade do usuário, no alias de autenticação de mediação, exista na configuração de cada domínio. Como alternativa, você pode escolher para utilizar a opção de identidade do servidor. Você poderá utilizar essa opção mesmo que vários domínios não estejam em uso.


Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjp0021_
Nome do arquivo: cjp0021_.html