Creación de seguridad de extremo a extremo

Existente muchos escenarios potenciales de seguridad de extremo a extremo. Cada uno de ellos podría implicar distintos pasos de seguridad. Aquí se presentan varios escenarios típicos con las opciones de seguridad necesarias.

Antes de empezar

En todos estos escenarios se asume que se impone la seguridad global.

Por qué y cuándo realizar esta tarea

Pasos para realizar esta tarea

  1. Determine cuál de los ejemplos proporcionados en este apartado se aproximan más a sus necesidades de seguridad. En ciertos casos, su escenario incluirá una combinación de información de más de uno de los ejemplos.
  2. Lea la información de seguridad de los escenarios relevantes y aplíquela a sus necesidades de seguridad.

Escenario de integración clásico: adaptadores de entrada y salida

Las peticiones de entrada provienen de un WebSphere Business Integration Adapter. SCA (Service Component Architecture) invoca una correlación de interfaz basada en la exportación SCA. La petición pasa a través de un componente de proceso, una segunda correlación de interfaz y después se pasa a un segundo EIS (B), mediante un WebSphere Adapter. Se trata de invocaciones SCA con un componente invocando un método sobre el siguiente componente.

La ilustración muestra la progresión de los datos en un escenario de integración clásico. De izquierda a derecha, la información comienza en un EIS, etiquetado como "A", pasa a través de un WebSphere Business Integration Adapter, hacia una exportación SCA JMS, a través de una correlación de interfaz hacia un proceso. El proceso pasa a continuación la petición a través de una segunda correlación de interfaz y una importación SCA hacia un WebSphere Adapter que se comunica con un segundo EIS, etiquetado como "B". Todos los elementos, excepto los dos EIS y el WebSphere Business Integration Adapter, están agrupados dentro de una elipse, etiquetada como "WebSphere Process Server". Una flecha muestra la dirección del flujo de datos.

No hay mecanismo de autenticación para el adaptador de entrada. Puede establecer el contexto de seguridad definiendo el calificador SecurityIdentity en el primer componente; en esta instancia, el primer componente de correlación de interfaz. Desde ese punto, SCA propagará el contexto de seguridad desde cada componente al siguiente. El control de acceso de cada componente se define mediante el calificador SecurityPermission.

Petición de servicio Web de entrada para WebSphere Process Server

En este escenario un cliente del servicio Web invoca un componente de WebSphere Process Server. La petición pasa a través de varios componentes en el entorno de WebSphere Process Server antes de que un adaptador lo pase a un EIS.

La ilustración muestra una petición de servicio Web a WebSphere Process Server. A la izquierda está una célula etiquetada como "Cliente de servicios Web" una flecha desde esta célula, con la etiqueta "Seguridad SSL o WS" señala a una elipse etiquetada como "WebSphere Process Server" que contiene células no etiquetadas cuyo propósito es representar los diversos procesos, adaptadores y correlaciones. De esta elipse sale una segunda flecha, etiquetada como "SSL" que lleva a una célula que representa un EIS.

Puede autenticar un cliente de servicio Web como un cliente SSL, utilizando autenticación básica HTTP o utilizando una autenticación WS-Security. Cuando se autentica el cliente, se aplica el control de acceso basado en el calificador SecurityPermission. Entre el cliente y la instancia de WebSphere Process Server puede proteger la integridad y privacidad de los datos utilizando SSL o WS-Security. Con SSL se protege todo el conducto, mientras que con WS-Security se puede cifrar o firmar digitalmente partes del mensaje SOAP. Para los servicios Web, WS-Security es el estándar preferido.

Petición de servicio Web de salida desde WebSphere Process Server

En este escenario la petición de entrada puede ser desde un adaptador, un cliente de servicio Web o un cliente HTTP. Un componente de WebSphere Process Server (por ejemplo, un componente BPEL) invoca un servicio Web externo.

La ilustración muestra una petición de servicio Web desde WebSphere Process Server. A la izquierda está una célula etiquetada como "EIS A" y una flecha desde esta célula, con la etiqueta "SSL", que señala a una elipse etiquetada como "WebSphere Process Server"; desde esta elipse salen dos flechas, la primera, etiquetada como "Seguridad SSL o WS" termina en una célula etiquetada como "Servicio Web externo"; la segunda, etiquetada como "SSL", lleva a una célula que representa un segundo EIS (B).

Al igual que con la petición de servicio Web de entrada, puede autenticar con el servicio Web externo como un cliente SSL, utilizando autenticación básica HTTP o autenticación WS-Security. Utilice LTPACallBackHandler como mecanismo de retorno de llamada para extraer el usernameToken del asunto RunAs actual. Entre WebSphere Process Server y el servicio Web de destino, puede proteger la privacidad e integridad de los datos utilizando WS-Security.

Aplicación Web: petición de entrada HTTP para WebSphere Process Server

WebSphere Process Server da soporte a tres tipos de autenticación para HTTP:
  • Autenticación básica HTTP
  • Autenticación basada en formularios HTTP
  • Autenticación de clientes basada en HTTPS SSL.
Además, para proteger la intranet frente a intrusos, puede situar un servidor Web en la zona desmilitarizada (DMZ) y WebSphere Process Server dentro del cortafuegos interior. En este ejemplo, se utiliza Webseal como proxy de retroceso, que realiza la autenticación. Tiene una asociación de confianza con WebSphere Process Server detrás del cortafuegos y puede reenviar peticiones autenticadas.
La ilustración describe una aplicación Web realizando una petición HTTP (de entrada) a WebSphere Process Server. De izquierda a derecha, la ilustración describe una célula triangular, etiquetada como "HTTP o cliente de servicio Web", de la que sale una flecha que cruza una línea gruesa que representa el cortafuegos y termina en una célula pentagonal, etiquetada como "Webseal". Un segundo cortafuegos aísla esta célula Webseal, en una región indicada como "DMZ". De la célula Webseal sale una flecha (etiquetada como "SSL), que cruza el segundo cortafuegos y llega hasta una célula etiquetada como "WebSphere Process Server". Siguiendo la misma trayectoria que las dos flechas anteriores, sale una tercera flecha de la parte derecha de esta célula y termina en una célula etiquetada como "EIS". Existe una quinta célula en la imagen, situada directamente debajo de la elipse "WebSphere Process Server". Esta célula está etiquetada como "Tivoli Access Manager o LDAP" y está conectada con la célula "WebSphere Process Server" con una flecha vertical de doble punta, y también con la célula "Webseal" con una flecha de doble punta que cruza la línea gruesa que representa el segundo cortafuegos; esta flecha final está etiquetada como "SSL".
Conceptos relacionados
Consideraciones sobre la seguridad de los buses de integración de servicios

Condiciones de uso |


(c) Copyright IBM Corporation 2005, 2006.
Este centro de información está basado en tecnología Eclipse (http://www.eclipse.org)