Profils de sécurité

Un profil de sécurité définit les opérations de sécurité à effectuer dans un flux de messages sur les noeuds SecurityPEP et les noeuds d'entrée et de sortie activés pour la sécurité.

Les profils de sécurité sont configurés par l'administrateur d'intégration avant le déploiement d'un flux de messages et sont accessibles par le gestionnaire de sécurité lors de l'exécution.

Un profil de sécurité permet à un administrateur d'intégration de spécifier si l'authentification, l'autorisation, le mappage et la propagation doivent être effectués sur les jetons d'identité ou de sécurité associés aux messages dans le flux de messages. Vous pouvez créer un profil de sécurité à utiliser avec un fournisseur de sécurité externe (également appelé Policy Decision Point ou PDP) pour assurer l'application et le mappage de la sécurité. IBM® Tivoli® Federated Identity Manager (TFIM) V6.1 et le service de jeton de sécurité WS-Trust v1.3 (y compris TFIM V6.2) sont pris en charge pour l'authentification, l'autorisation et le mappage. Le protocole LDAP ( LDAP ) est pris en charge pour l'authentification et l'autorisation. Comme alternative à l'utilisation d'un fournisseur de sécurité externe pour l'authentification, vous pouvez créer un profil de sécurité pour l'authentification par rapport aux données d'identification conservées localement dans le coffre du serveur d'intégration, comme décrit dans Authentification des demandes entrantes à l'aide des données d'identification stockées dans le coffre.

Les profils de sécurité s'appliquent aux noeuds de flux de messages activés pour la sécurité suivants:
  • CICSRequest
  • HTTPInput
  • HTTPRequest
  • HTTPAsyncRequest
  • IMSRequest
  • MQInput
  • MQOutput
  • MQReply
  • RESTRequest
  • RESTAsyncRequest
  • SAPRequest
  • SecurityPEP
  • SiebelRequest
  • SOAPInput
  • SOAPReply
  • SOAPRequest
  • SOAPAsyncRequest
Ces noeuds possèdent une propriété Security Profile , dans laquelle vous pouvez spécifier le nom du profil de sécurité qui détermine le type de sécurité configuré pour le noeud. Si le profil de sécurité nommé n'existe pas lors de l'exécution, le déploiement du flux de messages échoue. Si un fournisseur de sécurité externe spécifié ne prend pas en charge le type de jeton configuré sur le noeud pour l'opération de sécurité, une erreur est signalée et le flux de messages ne peut pas être déployé. Si le profil de sécurité spécifie une authentification locale, mais que les données d'identification n'ont pas été créées ou que le nom d'alias ne correspond pas, le flux de messages déployé ne démarre pas. Pour plus d'informations, voir Authentification des demandes entrantes à l'aide de données d'identification stockées dans le coffre.

Les profils de sécurité peuvent être configurés par l'administrateur lors du déploiement dans l'éditeur de fichier BAR . Les noeuds activés pour la sécurité possèdent une propriété Security Profile dans l'éditeur de fichier BAR, qui peut être laissée vide, définie sur Aucune sécuritéou définie sur un nom de profil de sécurité spécifique. Définissez Aucune sécurité pour désactiver explicitement la sécurité du noeud de flux de messages. Si la propriété Security Profile est vide, le noeud hérite de la propriété Security Profile définie au niveau du flux de messages. Si la propriété Security Profile est laissée vide aux deux niveaux, la sécurité est désactivée pour le noeud de flux de messages.

Le profil de sécurité indique également si la propagation est requise. Un profil préconfiguré spécifiant la propagation est fourni pour être utilisé par les noeuds de sortie et de demande. Ce profil est le profil de sécurité Propagation par défaut . Ce profil peut également être utilisé sur un noeud d'entrée pour extraire des jetons et les placer dans l'arborescence de messages prête pour la propagation ou le traitement dans un noeud SecurityPEP .

Les profils de sécurité contiennent des valeurs pour les propriétés suivantes:

alternateServers
Définit la liste, séparée par des virgules, des serveurs de l' LDAP s vers lesquels basculer en cas d'indisponibilité du serveur principal. La liste a le format suivant:
ldap[s]://host1:[port1], ldap[s]://host2:[port2], ldap[s]://host3:[port3]
Une fois le basculement effectué, le serveur LDAP nouvellement connecté devient le serveur principal.
authentification
Définit le type d'authentification effectué sur l'identité de la source. Pour plus d'informations, voir Authentification et validation.
authenticationConfig
Définit les informations dont le serveur d'intégration a besoin pour authentifier l'identité et peut prendre l'une des valeurs suivantes:
  • Nom d'alias configuré des données d'identification stockées localement dans le coffre du serveur d'intégration. Ces données d'identification sont utilisées pour l'authentification de base lorsque le type Authentication est Local. Pour plus d'informations, voir Authentification des demandes entrantes à l'aide de données d'identification stockées dans le coffre.
  • Les informations dont le serveur d'intégration a besoin pour se connecter au fournisseur de sécurité externe et rechercher des jetons d'identité. Cette propriété se présente sous la forme d'une chaîne de configuration spécifique au fournisseur.
mappage
Définit le type de mappage effectué sur l'identité de la source. Pour plus d'informations, voir Mappage des identités.
mappingConfig
Définit comment le noeud d'intégration se connecte au fournisseur et contient des informations supplémentaires requises pour rechercher la routine de mappage. Il s'agit d'une chaîne de configuration propre au fournisseur.
autorisation
Définit les types de vérification d'autorisation effectués sur l'identité de la source ou mappée. Pour plus d'informations, voir Autorisation.
authorizationConfig
Définit comment le noeud d'intégration se connecte au fournisseur et contient des informations supplémentaires qui peuvent être utilisées pour vérifier l'accès (par exemple, un groupe qui peut être vérifié pour l'appartenance). Il s'agit d'une chaîne de configuration propre au fournisseur.
passwordValue
Définit la façon dont les mots de passe sont traités lorsqu'ils entrent dans un flux de messages. Si PLAIN est sélectionné, le mot de passe apparaît dans le dossier Propriétés en texte en clair. Si OBFUSCATE est sélectionné, le mot de passe apparaît dans le dossier Propriétés du codage base64 . Si MASK est sélectionné, le mot de passe apparaît dans le dossier Propriétés sous la forme de quatre astérisques (****).
propagation
Active ou désactive la propagation d'identité sur les noeuds de sortie et de demande. Sur les noeuds d'entrée activés pour la sécurité, vous pouvez choisir de sélectionner uniquement la propagation d'identité, sans spécifier d'autres opérations de sécurité, afin de rendre l'identité entrante extraite ou le jeton de sécurité disponible pour une utilisation dans les autres noeuds du flux de messages, tels que les noeuds de sortie ou de demande. Pour plus d'informations, voir Propagation des jetons d'identité et de sécurité.
idToPropagateToTransport
Active l'utilisation d'une identité de sécurité spécifique pour la propagation. Définissez la valeur sur STATIC IDet définissez l'identité de sécurité à l'aide du paramètre transportPropagationConfig .
transportPropagationConfig
Fournit une identité de sécurité spécifique à propager lorsque idToPropagateToTransport est défini sur STATIC ID. Définissez la valeur sur le nom que vous associez au nom d'utilisateur statique et à l'identité de mot de passe lorsque vous exécutez la commande mqsicredentials . Vous pouvez également utiliser la commande mqsisetdbparms . Pour plus d'informations, voir Configuration d'un flux de messages pour la propagation d'identité.

Pour plus d'informations sur la configuration des paramètres du profil de sécurité, voir Création d'un profil de sécurité.