保护 WS-Notification

WS-Notification 安全性实现要求在 WS-Notification 服务请求中传递用户标识。此标识用于认证客户机应用程序以及检查该客户机是否有权调用所请求的操作,并用于访问底层服务集成总线主题空间和主题资源。

关于此任务

WS-Notification 使用与其他 Web Service 相同的机制来提供经过认证的标识。例如,这些机制包括 WS-Security 或 HTTP 基本认证。

WS-Notification 的安全访问配置分为三部分:
  • 保护应用程序与服务器之间的通信信道。
  • 授权应用程序调用 NotificationBroker。
  • 授权应用程序访问服务集成总线的资源。

如果启用了消息传递安全性,并且未将 WS-Security 或 HTTP 基本认证组件配置为在 WS-Notification 请求中传递用户标识,那么会将所有此类请求视为未经认证的请求,它们只能访问 WebSphere® Application Server 中“每个人”组所能访问的消息传递资源。

过程

  1. 保护应用程序与服务器之间的通信:
    1. 通过配置 WS-Notification 服务点为入站请求和关联响应提供安全性。
    2. 通过配置 WS-Notification 服务,为出站请求(例如从服务器发送到所预订使用者的通知)提供安全性。
      • 对于基于 JAX-WS 的 V7.0 WS-Notification 服务,所涉及步骤类似于对 JAX-WS Web Service 客户机应用安全性时涉及的步骤,但所创建的任何绑定或配置将应用于 WS-Notification 服务。有关更多信息,请参阅使用消息级别安全性来保护 JAX-WS Web Service
      • 对于基于 JAX-RPC 的 V6.1 WS-Notification 服务,所涉及步骤类似于对启用了服务集成总线的 Web Service 出站端口应用安全性时涉及的步骤,但所创建的任何绑定或配置将应用于 WS-Notification 服务。有关更多信息,请参阅保护启用了总线的 Web Service及其子主题,特别是调用基于 HTTPS 的出站服务
    3. 还可使用 WS-Security 签署或加密 SOAP 消息。
  2. 授权应用程序调用 NotificationBroker:
    1. 配置客户机应用程序,以提供适当的标识。
      要授权 Web Service 应用程序与服务器进行通信,该应用程序必须将其本身标识成作为特定经过认证的标识运行。完成此任务的机制取决于所使用的 Web Service 绑定的类型:
      • 如果正在使用 SOAP over HTTP Web Service 绑定,那么使用 HTTP 基本认证WS-Security 来提供经过认证的标识。
      • 如果正在使用 SOAP over JMS Web Service 绑定(对于 V6.1 WS-Notification 服务),那么使用 WS-Security 来提供经过认证的标识。
    2. 配置服务器,以授权客户机应用程序标识执行所请求的操作。
  3. 授权应用程序访问服务集成总线的资源。

    服务集成总线安全性使用基于角色的授权。在将用户指定给某个角色时,会将该角色包含的所有许可权授予该用户。通过管理许可权,可以控制消息传递安全性处于启用状态时用户对总线及其资源的访问权。

    1. 授权应用程序标识连接至服务集成总线,如管理总线连接者角色所述。
    2. 在该应用程序能够连接至总线后,授权该应用程序访问该总线上的适当目标。

      通过检查应用程序使用的 WS-Notification 主题名称空间,然后查看适当的 WS-Notification 永久主题名称空间以查找它所映射的服务集成总线主题空间,可以确定所需的服务集成总线主题空间。然后,可以授权经过认证的授权主体(例如发送方或接收方角色)访问该主题空间,如管理目标角色所述。

    3. 授权客户机应用程序访问适当的主题空间目标后,还可能需要授权该客户机应用程序访问该主题空间目标内的各个主题,如管理主题角色所述。
    有关配置对服务集成总线的访问的一般信息,请参阅保护服务集成

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjwsn_sec
文件名:tjwsn_sec.html