維護 WS-Notification 安全
WS-Notification 安全實作需要在 WS-Notification 服務要求中傳送使用者身分。 這個身分用來鑑別用戶端應用程式,確認用戶端已獲授權呼叫所要求的作業,以及存取基礎服務整合匯流排主題空間和主題資源。
關於這項作業
WS-Notification 使用與其他 Web 服務相同的機制來提供鑑別身分。 例如,WS-Security 或 HTTP 基本鑑別。
WS-Notification 的安全存取配置有三個部分:
- 維護應用程式和伺服器之間的通訊通道安全。
- 授權應用程式呼叫 NotificationBroker。
- 授權應用程式存取服務整合匯流排的資源。
如果啟用了傳訊安全,且未配置 WS-Security 或 HTTP 基本鑑別元素在 WS-Notification 要求中傳送使用者身分,所有這類要求都會被視為未經鑑別,只能存取 WebSphere® Application Server "everyone" 群組所能存取的傳訊資源。
程序
- 維護應用程式和伺服器之間的通訊安全:
- 配置 WS-Notification 服務點來提供入埠要求和相關回應的安全。
- 如果是 JAX-WS 型 7.0 版 WS-Notification 服務點,請將啟用安全的原則集附加到與服務點相關聯的應用程式。如果是 JAX-RPC 型 6.1 版 WS-Notification 服務點,請配置與服務點相關聯的入埠連接埠的安全。
- 如果您利用 SOAP over HTTP 來作為 WS-Notification 服務點的連結,請依照 Configuring secure access to WS-Notification service points by using SOAP over HTTPS 所說明,修改它來使用 SOAP over HTTP。
- 如果您利用 SOAP over JMS 來作為連結(適用於 6.1 版 WS-Notification 服務),請配置用戶端應用程式所用的 JMS Connection Factory,讓它利用安全通訊協定與 JMS 提供者通訊。 執行這個作業的確切方式取決於 JMS 提供者。 如果您利用服務整合匯流排來作為 JMS 提供者,請依照How JMS applications connect to a messaging engine on a bus及其相關作業所說明,將目標入埠傳輸鏈設為 InboundSecureMessaging,以配置用戶端利用 SSL 伺服器通訊。
- 配置 WS-Notification 服務來提供出埠要求(例如,從伺服器到訂閱消費者的通知)安全。
- 如果是 JAX-WS 型 7.0 版 WS-Notification 服務,除了所建立的任何連結或配置都是套用於 WS-Notification 服務之外,涉及的步驟類似於 JAX-WS Web 服務用戶端套用安全的步驟。 如需相關資訊,請參閱Securing JAX-WS web services using message-level security。
- 如果是 JAX-RPC 型 6.1 版 WS-Notification 服務,除了所建立的任何連結或配置都是套用於 WS-Notification 服務之外,涉及的步驟類似於啟用服務整合匯流排的 Web 服務出埠連接埠套用安全的步驟。 如需相關資訊,請參閱Securing bus-enabled web services及其子主題,尤其是Invoking outbound services over HTTPS。
- 您也可以利用 WS-Security 來簽署或加密 SOAP 訊息。
- 關於 JAX-WS 型 7.0 版 WS-Notification 服務,請參閱Signing and encrypting message parts using policy sets。
- 關於 JAX-RPC 型 6.1 版 WS-Notification 服務,請參閱Configuring secure transmission of SOAP messages by using WS-Security。
- 配置 WS-Notification 服務點來提供入埠要求和相關回應的安全。
- 授權應用程式呼叫 NotificationBroker:
- 配置用戶端應用程式來提供適當的身分。 如果要授權 Web 服務應用程式與伺服器通訊,應用程式必須將本身識別為以特定鑑別身分來執行。 這個作業的執行機制取決於您在使用的 Web 服務連結類型:
- 如果您使用 SOAP over HTTP Web 服務連結,請利用 HTTP 基本鑑別或 WS-Security 來提供鑑別身分。
- 如果您使用 SOAP over JMS Web 服務連結(適用於 6.1 版 WS-Notification 服務),請利用 WS-Security 來提供來提供身分。
- 配置伺服器來授權用戶端應用程式身分執行所需要的作業。
- 如果是 JAX-WS 型 7.0 版 WS-Notification 服務,您可以利用 Web 服務原則集,例如「Username WS-I RSP 預設」或「Username WSSecurity 預設」原則集,將授權套用於部署在與服務點相關聯的企業應用程式中的 Web 服務。 另請參閱 IBMdeveloperWorks® 中的配置 JAX-WS 應用程式的 WS-Notification WS-Security。
- 如果是 JAX-RPC 型 6.1 版 WS-Notification 服務,您可以依照Password-protecting inbound services中所說明,將授權套用於整體入埠服務(例如,WS-Notification 服務點的 NotificationBroker 端點),或依照Password-protecting a web service operation中所說明,個別配置每個 Web 服務作業的授權限制。
- 配置用戶端應用程式來提供適當的身分。
- 授權應用程式來存取服務整合匯流排的資源。
服務整合匯流排安全使用角色型授權。 當指派使用者的角色時,角色所包含的所有許可權都會授予這位使用者。 通過管理授權許可權,當啟用傳訊安全時,您可以進行使用者對於匯流排及其資源的存取控制。
- 依照Administering the bus connector role所說明,授權應用程式身分,使它能夠連接到服務整合匯流排。
- 當應用程式可以連接到匯流排時,授權應用程式存取匯流排上的適當目的地。
您可以檢查應用程式會使用哪些 WS-Notification 主題名稱空間,然後查看適當的 WS-Notification 永久主題名稱空間來尋找它所對映的服務整合匯流排主題空間,以判斷哪些服務整合匯流排主題空間是必要的。 之後,您可以依照Administering destination roles所說明,將存取主題空間的權限(如「傳送者」或「接收者」角色)授予已鑑別的身分。
- 用戶端應用程式獲授權存取適當的主題空間目的地之後,您也可能需要依照Administering topic roles所說明,授權用戶端應用程式來存取主題空間目的地內的個別主題。
相關概念:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjwsn_sec
檔名:tjwsn_sec.html