Implementazione di WS-Security

Configurazione dell'autenticazione con i token Nome utente:

1. Nel Toolkit di IBM App Connect Enterprise, creare un progetto di criteri facendo clic su File > Nuovo > Progetto di criteri.
2. Nella vista Sviluppo applicazioni, fare clic con il pulsante destro del mouse sul progetto di criteri, quindi fare clic su Nuovo > Set di criteri WS e binding. Viene aperto l'Editor delle serie di politiche e dei bind WS.
3. Fare clic su Aggiungi per creare una serie di politiche.
4. Selezionare la nuova politica nella vista ad albero, quindi fare clic su Aggiungi WS - Security per aggiungere il tipo di politica alla serie di politiche.
5. Espandere il tipo di criterio WS-Security nella struttura ad albero, fare clic su Token di autenticazione, quindi fare clic su Aggiungi per aggiungere i token di autenticazione UserName al criterio (vedere Editor set di criteri e binding set di criteri: pannello Token di autenticazione ).
6. Ripetere il passaggio precedente per configurare i token di autenticazione X.509 (vedere l' editor Set di criteri e binding di set di criteri: Pannello Token di autenticazione e protezione ).
7. Configurare un profilo di sicurezza (vedere Sicurezza del flusso di messaggi e profili di sicurezza ).
8. Associare il set di criteri a un flusso di messaggi o a un nodo (vedere Associare set di criteri e vincoli a flussi di messaggi e nodi ).

Configurazione dell'autenticazione con i token X.509:

1. Se si sta utilizzando il truststore del nodo di integrazione per conservare il certificato attendibile, è necessario configurarlo. Vedere Visualizzazione e impostazione delle proprietà di keystore e truststore runtime a livello di nodo di integrazione o Visualizzazione e impostazione delle proprietà di keystore e truststore runtime a livello di server di integrazione, a seconda di dove si desidera impostare le proprietà di keystore e truststore runtime.
2. Creare una serie di politiche (come descritto nella sezione precedente), quindi aggiungere UserName e token di autenticazione X.509 .
3. Configurare la modalità di certificato per il truststore del nodo di integrazione o per un provider di sicurezza esterno (vedere l' editor Set di criteri e binding dei set di criteri: Pannello Token di autenticazione e protezione ).
4. Se si utilizza un provider di sicurezza esterno, configurare un profilo di sicurezza (vedere Sicurezza del flusso di messaggi e profili di sicurezza ).
5. Associare il set di criteri a un flusso di messaggi o a un nodo (vedere Associare set di criteri e vincoli a flussi di messaggi e nodi ).

Configurazione dell'autenticazione con le asserzioni SAML:

1. Creare un insieme di criteri e aggiungervi un token di pass-through SAML 1.1 o un token di pass-through SAML 2.0 (vedere l'editor "Insiemi di criteri e associazioni di insiemi di criteri": pannello "Token di autenticazione "). Il pass-through SAML non applica la conferma dell'oggetto, l'asserzione viene fornita semplicemente come token da elaborare nel server dei token di sicurezza esterno specificato nel profilo di sicurezza associato al nodo.
2. Configurare un profilo di sicurezza. Il profilo di sicurezza deve essere configurato per utilizzare un STS WS-Trust v1.3 (vedere Sicurezza del flusso di messaggi e profili di sicurezza ).
3. Associare il set di criteri a un flusso di messaggi o a un nodo (vedere Associare set di criteri e vincoli a flussi di messaggi e nodi ).

Configurazione dell'autenticazione con i ticket Kerberos:

1. Creare un set di criteri e aggiungere il tipo di token Kerberos come token simmetrico (vedere l' editor Set di criteri e binding dei set di criteri: Pannello Protezione a livello di messaggio ).
2. Associare il set di criteri a un flusso di messaggi o a un nodo (vedere Associare set di criteri e binding a flussi di messaggi e nodi ).
3. Configurare il file keytab Kerberos dell'host. Per ulteriori informazioni sulla configurazione di Kerberos , consultare la documentazione per il sistema host del proprio nodo di integrazione. Ad esempio, per Windows, consultare la guida "Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability", accessibile all'indirizzo http://technet.microsoft.com/en-us/library/.

Configurazione dell'autenticazione con i token binari LTPA:

1. Creare un set di criteri e aggiungervi i token LTPA (vedere Editor dei set di criteri e dei binding dei set di criteri: pannello dei token di autenticazione ). Il token binario LTPA viene trasmesso all'STS (Security Token Service) esterno specificato nel profilo di sicurezza associato con il nodo.
2. Configurare un profilo di sicurezza. Il profilo di sicurezza deve essere configurato per utilizzare un STS WS-Trust v1.3 (vedere Sicurezza del flusso di messaggi e profili di sicurezza ).
3. Associare il set di criteri a un flusso di messaggi o a un nodo (vedere Associare set di criteri e binding a flussi di messaggi e nodi ).

La riservatezza è fornita dalla codifica XML e richiede i token X.509 o i ticket Kerberos.

Configurazione della codifica XML con token X.509:

1. Se si sta utilizzando il truststore del nodo di integrazione per conservare il certificato attendibile, è necessario configurarlo. Vedere Visualizzazione e impostazione delle proprietà di keystore e truststore runtime a livello di nodo di integrazione o Visualizzazione e impostazione delle proprietà di keystore e truststore runtime a livello di server di integrazione, a seconda di dove si desidera impostare le proprietà di keystore e truststore runtime.
2. Creare un set di criteri, abilitare la crittografia XML, creare token di crittografia e selezionare gli algoritmi di crittografia da utilizzare (vedere l' editor Set di criteri e binding dei set di criteri: Pannello Protezione a livello di messaggio ).
3. Definire quali parti di un messaggio devono essere crittografate (vedere l' editor Set di criteri e binding di set di criteri: Pannello Protezione parti del messaggio ).
4. Configurare ulteriormente la crittografia della parte di messaggio (vedere l' editor dei set di criteri e dei binding dei set di criteri: pannello Criteri della parte di messaggio ).
5. Configurare ulteriormente il keystore e il truststore (vedere Editor dei set di criteri e dei binding dei set di criteri: pannello Informazioni sulla chiave ).
6. Associare il set di criteri a un flusso di messaggi o a un nodo (vedere Associare set di criteri e binding a flussi di messaggi e nodi ).

Configurazione della codifica XML con i ticket Kerberos:

1. Configurare l'host per Kerberos, fornendo un file di configurazione krb.conf. Questo passaggio è necessario in tutti i sistemi operativi, incluso Windows.
2. Fornire il nodo di integrazione con le credenziali client Kerberos per accedere a KDC (Key Distribution Center) Kerberos . Queste credenziali (richieste per i nodi SOAPRequest ) possono essere fornite nella struttura ad albero delle proprietà del nodo di integrazione o utilizzando il comando mqsisetdbparms . Le credenziali vengono acquisite in ordine di priorità:
   • Il nodo ha un profilo di sicurezza con la proprietà propagazione impostata su True ed è presente il token Nome utente e password della struttura ad albero delle proprietà. Se non esiste alcun token Nome utente e password, viene generata un'eccezione.

   • mqsisetdbparms kerberos::<realm>::<integrationServerName>

   • mqsisetdbparms kerberos::<realm>

   • mqsisetdbparms kerberos::kerberos

3. Creare un set di criteri e aggiungere il tipo di token Kerberos richiesto come Token simmetrico (vedere l' editor Set di criteri e binding dei set di criteri: Pannello Protezione a livello di messaggio ).

L'integrità viene fornita dalla firma XML e richiede token X.509 o ticket Kerberos.

Configurazione della firma XML con token X.509:

1. Se si sta utilizzando il truststore del nodo di integrazione per conservare il certificato attendibile, è necessario configurarlo. Vedere Visualizzazione e impostazione delle proprietà di keystore e truststore runtime a livello di nodo di integrazione o Visualizzazione e impostazione delle proprietà di keystore e truststore runtime a livello di server di integrazione, a seconda di dove si desidera impostare le proprietà di keystore e truststore runtime.
2. Creare un set di criteri, attivare la firma XML e creare token di firma (vedere l' editor Set di criteri e binding di set di criteri: Pannello Protezione a livello di messaggio ).
3. Definire quali parti di un messaggio devono essere firmate (vedere l' editor Set di criteri e binding di set di criteri: Pannello Protezione delle parti del messaggio ).
4. Configurare ulteriormente la firma della parte di messaggio (vedere l' editor dei set di criteri e dei binding dei set di criteri: pannello Criteri della parte di messaggio ).
5. Configurare ulteriormente il keystore e il truststore (vedere Editor dei set di criteri e dei binding dei set di criteri: pannello Informazioni sulla chiave ).
6. Associare il set di criteri a un flusso di messaggi o a un nodo (vedere Associare set di criteri e vincoli a flussi di messaggi e nodi ).

Configurazione della firma XML con i ticket Kerberos:

1. Configurare l'host per Kerberos, fornendo un file di configurazione krb.conf. Questo passaggio è necessario in tutti i sistemi operativi, incluso Windows.
2. Fornire il nodo di integrazione con le credenziali client Kerberos per accedere a KDC (Key Distribution Center) Kerberos . Queste credenziali (richieste per i nodi SOAPRequest ) possono essere fornite nella struttura ad albero delle proprietà del nodo di integrazione o utilizzando il comando mqsisetdbparms . Le credenziali vengono acquisite nel seguente ordine di priorità:
   • Il nodo ha un profilo di sicurezza con la proprietà propagazione impostata su True ed è presente il token Nome utente e password della struttura ad albero delle proprietà. Se non esiste alcun token Nome utente e password, viene generata un'eccezione.

   • mqsisetdbparms kerberos::<realm>::<integrationServerName>

   • mqsisetdbparms kerberos::<realm>

   • mqsisetdbparms kerberos::kerberos

3. Creare un set di criteri e aggiungere il tipo di token Kerberos richiesto come Token simmetrico (vedere l' editor Set di criteri e binding dei set di criteri: Pannello Protezione a livello di messaggio ).