Authentification, mappage et autorisation avec TFIM V6.1 et TAM

Utilisez IBM® App Connect Enterprise, Tivoli® Federated Identity Manager (TFIM), V6.1 et Tivoli Access Manager (TAM) pour gérer l'authentification, le mappage et l'autorisation.

Remarque : la prise en charge de TFIM ( V6.1 ) est incluse pour assurer la compatibilité avec les versions antérieures d' IBM App Connect Enterprise. Si possible, effectuez la mise à niveau vers TFIM V6.2 et consultez les informations fournies dans la section « Authentification, mappage et autorisation avec TFIM » V6.2 et TAM.

IBM App Connect Enterprise effectue un seul appel TFIM WS-Trust pour un nœud d'entrée configuré avec un profil de sécurité TFIM, ce qui signifie qu'une seule chaîne de modules doit être configurée pour effectuer toutes les opérations d'authentification, de mappage et d'autorisation requises.

Le schéma suivant illustre la configuration d' IBM App Connect Enterprise, de TFIM et de TAM pour permettre l'authentification, le mappage et l'autorisation d'une identité dans un flux de messages :

L'image est décrite dans le texte.

Les numéros du diagramme précédent correspondent à la séquence d'événements suivante:

  1. Un message entre dans un flux de messages.
  2. Une demande WS-Trust est émise par le noeud d'intégration, avec les propriétés suivantes:
    • RequestType = Valider
    • Identité = Jeton (s) du message d'entrée
    • Issuer = Issuer à partir du message d'entrée
    • AppliesTo Adresse = "Broker.IntegrationServer.FlowName"
    • PortType = "FlowName"
    • Opération = "MessageFlowAccess"
  3. TFIM sélectionne une chaîne de modules pour traiter la demande WS-Trust, en fonction des propriétés d'adresse et d'émetteur AppliesTo de la demande.
  4. Une chaîne de modules peut effectuer une authentification si elle inclut un module (tel qu'un UsernameTokenSTSModule ou X509STSModule) dansvalidate mode.
  5. Une chaîne de modules peut effectuer un mappage à l'aide d'un XSLTransformationModule en mode mapping pour manipuler les informations d'identité.
  6. Une chaîne de modules peut effectuer une autorisation à l'aide d'un AuthorizationSTSModule en mode other . La chaîne de modules doit être configurée avec une valeur Protected Object Root .
  7. Le module AuthorizationSTSModule effectue la vérification d'autorisation en soumettant une demande à TAM avec les propriétés suivantes:
    • Action = "i" (appel)
    • Groupe d'action = "WebService"
    • Objet protégé = " ProtectedObjectRoot.FlowName.MessageFlowAccess"

      "je" et "WebService" sont des valeurs par défaut utilisées par un AuthorizationSTSModule; et FlowName et MessageFlowAccess sont la demande WS-Trust PortType et valeurs de fonctionnement.

  8. TAM traite la demande d'autorisation par:
    1. Recherche des listes de contrôle d'accès (ACL) associées à un objet protégé "<ProtectedObjectRoot>.<FlowName>.MessageFlowAccess".
    2. Vérifier si les ACL accordent ou non l'action "i" sur le groupe d'actions "WebService" à l'utilisateur (l'utilisateur étant soit nommé directement, soit par appartenance à un groupe nommé).
  9. La réponse WS-Trust est renvoyée au noeud d'intégration. Si cette action est le résultat d'une demande de mappage, la réponse WS-Trust contient le jeton d'identité mappé.