覆盖总线支持的 Web Service 与安全总线之间的缺省安全性配置
要覆盖总线支持的 Web Service 组件用于访问安全服务集成总线的缺省配置,应配置服务集成资源适配器用于访问总线的认证别名。
开始之前
注: 要在启用总线安全性后使用总线支持的 Web Service,Web Service 客户机必须在发出请求时提供适当的凭证。客户机可以使用
WS-Security 或 HTTP 基本认证来提供凭证,如使用 HTTP 基本认证来认证 Web Service 客户机中所述。对于 HTTP 基本认证,还必须启用应用程序安全性,并且根据要使用的认证方案,必须按受密码保护的入站服务中所述适当地配置端点侦听器应用程序。使用 HTTP
基本认证时,将 AuthenticatedUsers
角色映射至特殊“AllAuthenticatedUsers”
组(或其他适当的已认证组或用户);使用 WS-Security 时,不必映射端点侦听器
AuthenticatedUsers 角色,除非已启用应用程序安全性,在此情况下,应将
AuthenticatedUsers 角色映射至特殊“Everyone”组。有关更多信息,请参阅 为用户和组指定角色。
关于此任务
总线支持的 Web Service 组件访问安全总线时使用的缺省配置如下所示:
- 通过总线连接者角色配置总线访问权。缺省情况下,每条总线连接者角色都包含名为 server 的组。此组的成员有权连接至总线。
- 服务集成资源适配器使用 J2C 激活规范与总线进行通信。缺省情况下,此激活规范包含设置为 true 的布尔定制属性 useServerSubject。此属性允许服务集成资源适配器作为服务器组的主体集(成员)连接至总线。
有关更多信息,请参阅用于访问安全总线的支持总线的 Web Service 缺省配置。
通过定义服务集成资源适配器用于访问总线的认证别名,可以覆盖此缺省配置。 使用认证别名并不会使配置更安全。但是,如果有在 WebSphere Application Server V6.0.x 下运行的其他应用程序服务器,或者为了支持企业内部控制以使用标识和密码,那么您可能想使用别名以使方法保持一致。