服务集成安全性
消息传递安全性确保对服务集成总线用户进行认证、通过执行安全性检查来保护资源以及确保传输中的消息安全。使用下列主题来了解如何保护服务集成总线以及保护所发送和接收的消息。
安全性涵盖下列所有领域:
- 对尝试连接至总线并使用其资源的用户进行认证和授权。
- 保护客户机与消息传递引擎之间以及消息传递引擎本身之间的通信传输。
- 对总线中的同级消息传递引擎进行认证。
- 使用用户标识保护消息存储器。
在启用总线安全性的情况下创建总线时,存在以下条件:
- 总线需要客户机认证。
- 总线实施授权策略。
- 总线需要使用 SSL 传输链。
可以使用安全传输连接来确保应用程序客户机之间、总线之间以及消息传递引擎之间传递的消息的机密性和完整性。可以通过定义传输链并引用传输链名来完成此操作,如下所示:
- 对于应用程序客户机连接:从连接工厂受管对象。
- 对于与外部总线的连接:从服务集成总线链路的目标入站传输链属性。
- 对于与 IBM MQ 的连接:从 WebSphere® MQ 链路的传输链属性。
- 对于消息传递引擎之间的连接:从总线的“引擎间传输链”属性。
注: 创建安全总线时,只允许使用受 SSL 保护的消息传递链。例如,您可以使用 InboundSecureMessaging 传输链。
在外部总线连接的服务集成总线链路的路由属性中,可使用“入站用户标识”和“出站用户标识”属性指定的值来替换应用于进入或离开该外部总线的消息的用户标识。
认证外部总线访问权的能力由服务集成总线链路的认证别名属性提供。创建每个外部总线连接时,可在两个安全总线之间的服务集成总线链路的每一端指定认证别名。您在链路两端的认证别名中指定的用于认证的用户标识必须相同。例如,考虑两个消息传递引擎通过服务集成总线链路进行连接的方案。消息传递引擎 A 将用户标识和密码提供给消息传递引擎 B,以使消息传递引擎 B 能够认证消息传递引擎 A。有关创建外部总线连接及(因此)服务集成总线链路的详细信息,请参阅配置外部总线连接。