用于访问安全总线的支持总线的 Web Service 缺省配置
缺省情况下,支持总线的 Web Service 组件可以访问安全服务集成总线。这意味着启用总线安全性后,如果 Web Service 客户机在发出请求时提供适当的凭证,那么就可以使用支持总线的 Web Service。例如,通过定义服务集成资源适配器用于访问总线的认证别名,可修改或覆盖缺省配置。
注: 要在启用总线安全性后使用总线支持的 Web Service,Web Service 客户机必须在发出请求时提供适当的凭证。客户机可以使用
WS-Security 或 HTTP 基本认证来提供凭证,如使用 HTTP 基本认证来认证 Web Service 客户机中所述。对于 HTTP 基本认证,还必须启用应用程序安全性,并且根据要使用的认证方案,必须按受密码保护的入站服务中所述适当地配置端点侦听器应用程序。使用 HTTP
基本认证时,将 AuthenticatedUsers
角色映射至特殊“AllAuthenticatedUsers”
组(或其他适当的已认证组或用户);使用 WS-Security 时,不必映射端点侦听器
AuthenticatedUsers 角色,除非已启用应用程序安全性,在此情况下,应将
AuthenticatedUsers 角色映射至特殊“Everyone”组。有关更多信息,请参阅 为用户和组指定角色。
总线支持的 Web Service 组件访问安全总线时使用的缺省配置如下所示:
- 通过总线连接者角色配置总线访问权。缺省情况下,每条总线连接者角色都包含名为 server 的组。此组的成员有权连接至总线。
- 服务集成资源适配器使用 J2C 激活规范与总线进行通信。缺省情况下,此激活规范包含设置为 true 的布尔定制属性 useServerSubject。此属性允许服务集成资源适配器作为服务器组的主体集(成员)连接至总线。
总线连接者角色中的服务器组
此组控制用户是否有权连接至总线。可使用管理控制台添加或移除服务器组:
另外,还可以使用以下 wsadmin 命令脚本来设置这个组:
addGroupToBusConnectorRole
removeGroupFromBusConnectorRole
useServerSubject 属性
您可以在与入站、出站或网关服务相关联的 J2C 激活规范的定制属性面板中找到此布尔属性:
另外,还可以使用 wsadmin 命令脚本来设置此属性。
禁用和覆盖缺省配置
要禁用缺省配置,请将 useServerSubject 属性设置为“false”,而不要移除服务器组。这是因为,服务集成资源适配器不是唯一使用服务器主体集的系统资源。如果从总线连接者角色中移除服务器组,那么将导致所有系统资源都无法使用服务器主体集。
例如,通过定义服务集成资源适配器用于访问总线的认证别名,还可覆盖缺省配置。使用认证别名并不会使配置更安全。但是,如果有在 WebSphere Application Server V6.0.x 下运行的其他应用程序服务器,或者为了支持企业内部控制以使用标识和密码,那么您可能想使用别名以使方法保持一致。
如果您配置了认证别名,那么也不需要禁用缺省配置。如果存在认证别名,那么它将覆盖缺省配置。 然而,如果您以后从激活规范中移除了认证别名,那么缺省配置将再次获得控制权。并且,如果未禁用缺省配置,那么将允许服务集成资源适配器继续访问总线。
下表显示不同属性的状态对服务集成资源适配器能否连接至受保护总线的影响:
有效的认证别名 | useServerSubject | 总线连接者角色中的服务器组 | 资源适配器能否进行连接? |
---|---|---|---|
是 | 否 | 否 | 是 |
否 | 是 | 是 | 是 |
否 | 否 | 是 | 否 |
否 | 否 | 否 | 否 |
否 | 是 | 否 | 否 |
是 | 是 | 是 | 是(使用认证别名) |