覆盖总线支持的 Web Service 与安全总线之间的缺省安全性配置

要覆盖总线支持的 Web Service 组件用于访问安全服务集成总线的缺省配置,应配置服务集成资源适配器用于访问总线的认证别名。

开始之前

注: 要在启用总线安全性后使用总线支持的 Web Service,Web Service 客户机必须在发出请求时提供适当的凭证。客户机可以使用 WS-Security 或 HTTP 基本认证来提供凭证,如使用 HTTP 基本认证来认证 Web Service 客户机中所述。对于 HTTP 基本认证,还必须启用应用程序安全性,并且根据要使用的认证方案,必须按受密码保护的入站服务中所述适当地配置端点侦听器应用程序。使用 HTTP 基本认证时,将 AuthenticatedUsers 角色映射至特殊“AllAuthenticatedUsers” 组(或其他适当的已认证组或用户);使用 WS-Security 时,不必映射端点侦听器 AuthenticatedUsers 角色,除非已启用应用程序安全性,在此情况下,应将 AuthenticatedUsers 角色映射至特殊“Everyone”组。有关更多信息,请参阅 为用户和组指定角色

关于此任务

总线支持的 Web Service 组件访问安全总线时使用的缺省配置如下所示:
  • 通过总线连接者角色配置总线访问权。缺省情况下,每条总线连接者角色都包含名为 server 的组。此组的成员有权连接至总线。
  • 服务集成资源适配器使用 J2C 激活规范与总线进行通信。缺省情况下,此激活规范包含设置为 true 的布尔定制属性 useServerSubject。此属性允许服务集成资源适配器作为服务器组的主体集(成员)连接至总线。

有关更多信息,请参阅用于访问安全总线的支持总线的 Web Service 缺省配置

通过定义服务集成资源适配器用于访问总线的认证别名,可以覆盖此缺省配置。 使用认证别名并不会使配置更安全。但是,如果有在 WebSphere Application Server V6.0.x 下运行的其他应用程序服务器,或者为了支持企业内部控制以使用标识和密码,那么您可能想使用别名以使方法保持一致。

过程

  1. 在导航窗格中,单击服务集成 -> 总线 -> security_value -> [相关项] JAAS - J2C 认证数据
  2. 创建 J2C 认证别名
  3. 通过完成以下步骤来配置对资源适配器的认证:
    1. 在管理控制台导航窗格中,单击资源 -> 资源适配器 -> J2C 激活规范 -> activation_specification_name,其中 activation_specification_nameSIBWS_OUTBOUND_MDB
    2. 认证别名下拉列表中,选择您已创建的认证别名。
    3. 单击应用
  4. 可选: 禁用缺省认证配置。

    如果您配置了认证别名,那么也不需要禁用缺省配置。如果存在认证别名,那么它将覆盖缺省配置。这意味着,如果使用有权访问总线的认证别名,那么通信将成功。如果使用无权访问总线的认证别名,那么通信将失败,而与缺省设置无关。然而,如果您以后从激活规范中移除了认证别名,那么缺省配置将再次获得控制权。并且,如果未禁用缺省配置,那么将允许服务集成资源适配器继续访问总线。有关更多信息,请参阅用于访问安全总线的支持总线的 Web Service 缺省配置

    要禁用缺省认证配置,请完成以下步骤:

    1. 在管理控制台导航窗格中,单击资源 -> 资源适配器 -> J2C 激活规范 -> activation_specification_name -> [其他属性] J2C 激活规范定制属性,其中 activation_specification_nameSIBWS_OUTBOUND_MDB
    2. 在定制属性列表中,单击 useServerSubject
    3. useServerSubject 属性的从“true”更改为“false”。
    4. 单击确定
  5. 将更改保存至主配置。
  6. 关闭管理控制台。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjw_security_install
文件名:tjw_security_install.html