Security Identity Propagation サンプルについて

Security Identity Propagation サンプルは、IBM Integration Bus に含まれるいくつかの ID セキュリティー機能の使い方を示すものです。

実際のセキュリティー実装環境は、識別や与信を定義する、全国規模の外部のセキュリティー・プロバイダーに依存しているので、このサンプルはセキュリティー強化を実現するものではありません。事前にビルドされたサンプルは、MQInput および HTTPInput ノードでセキュリティー資格情報をメッセージから抽出する方法、ESQL を使用してセキュリティー資格情報を取り扱う方法、およびそれらのレポートを作成してオプションでマップする方法を示します。サンプルには、MQOutput および HTTPRequest ノードを使用して ID を伝搬する方法も示されています。

『サンプルの拡張』のセクションでは、外部セキュリティー・プロバイダーをサンプルに組み込む方法の詳細が提供されます。

Security Identity Propagation サンプルでは、以下のタスクを示します。

セキュリティーを目的として、メッセージごとの ID を使用する方法。
WebSphere MQ および HTTP メッセージ・ヘッダーからの ID 自動抽出、またはメッセージ本体のフィールドからの ID の抽出を構成する方法。
基礎となるトランスポートから独立して抽出された ID を使用して、カスタム ID 基準の処理を実装する方法。
メッセージ・フローからの発信要求で使われる ID に着信 ID をマップするために、カスタム ID マッピングを実装する方法。
発信要求を行うときに、メッセージごとの ID を伝搬するためにメッセージ・フローを構成する方法。

メッセージ・フローのセキュリティーに関連した概念について、詳しくは IBM Integration Bus 資料のメッセージ・フローのセキュリティーを参照してください。

メッセージ・フロー

以下の図は、Security Propagation Sample のメイン・メッセージ・フロー (SecurityIdentitySampleFlowProject 統合プロジェクトの SecurityIdentitySampleFlow.msgflow) を示しています。このメッセージ・フローは、1 つの HTTPInput ノードと、共通のサブフローを起動する 2 つの MQInput ノードから構成されています。

Security Propagation メイン・メッセージ・フローの画面取り

HTTP_ID という名前の HTTPInput ノードは、HTTP 基本認証ヘッダーの中で渡される ID を抽出します。それは着信要求からユーザー名とパスワード・トークンをエンコードしたものです。HTTPInput ノードは、提供されている BAR ファイル SecurityIdentityPropagation.bar において、セキュリティー・プロファイルに「デフォルトの伝搬」という設定値を持つように構成されています。

MQ_ID MQInput ノードは、着信メッセージの WebSphere MQ MQMD メッセージ・ヘッダーの中で渡される、ユーザー名のみを持つ ID を抽出します。MQ_ID ノードは、提供されている BAR ファイル SecurityIdentityPropagation.bar において、セキュリティー・プロファイルに「デフォルトの伝搬」という設定値を持つように構成されています。

MSG_ID MQInput ノードは、ユーザー名とパスワードの両方から成る ID 資格情報の組を抽出します。MSG_ID ノードの「セキュリティー」プロパティーは、ID 資格情報が WebSphere MQ メッセージの本体の中で渡されるように構成されています。MSG_ID ノードは、提供されている BAR ファイル SecurityIdentityPropagation.bar において、セキュリティー・プロファイルに「デフォルトの伝搬」という設定値を持つように構成されています。

次の図は、Security Identity Propagation サブフロー SecurityIdentitySubFlow.msgflow を示しています。これは各入力ノードによって呼び出されます。

Security Identity Propagation サブフローの画面取り

このサブフローは MapIdentity と呼ばれる 1 つの Compute ノードを含んでいます。このノードは、入力メッセージの内容が「マップ ID」の設定を要求している場合に、メッセージのプロパティー・フォルダーに「マップ ID」を設定することができます。HTTP_ReqAsID と呼ばれる HTTPRequest ノードは、プロパティー・フォルダー中のソース ID またはマップ ID のいずれかを用いて、SecurityIdentityReportFlow メッセージ・フローに要求を発行します。このノードはメッセージ・ツリーを、そのフローからの要求で置き換えます。HTTPRequestNode は、提供されている BAR ファイル SecurityIdentityPropagation.bar において、「デフォルトの伝搬」のセキュリティー・プロファイルを持つように構成されているので、マップ ID のソースを伝搬します。ClearHdrs という最後の Compute ノードは、メイン・フローが WebSphere MQ を介して応答メッセージを送信する場合に、HTTP 要求ヘッダーをクリアするために備えられています。

次の図は、サブフローによって呼び出される、SecurityIdentityReportFlow.msgflow と呼ばれる Security Propagation Sample Report Identity メッセージ・フローを示しています。このメッセージ・フローは、関連する ID を伝搬します。

Security Propagation Report Identity メッセージ・フローの画面取り

Security Propagation Sample Report Identity メッセージ・フロー中の、Report Identity Compute ノードは、body フォルダーが存在する場合、メッセージの BODY 要素フィールドの中で受け取った ID を報告します。

メッセージ

Security Propagation サンプルを実行するために、次の 3 つの入力メッセージが用意されています。

Simple Message は、着信メッセージ ID を報告するための構造を含む、次のような小さな XML メッセージです。
```
<?xml version="1.0" encoding="UTF-8"?>
 <Envelope>
   <Body>
   </Body>
</Envelope>
```
Simple.xml、Security_Identity_MQ_ID.mbtest を参照してください。

Identity Message は、メッセージ本体の中で ID 資格情報の組を渡せることを示すために使用される、次のような XML メッセージです。

<?xml version="1.0" encoding="UTF-8"?>
 <Envelope>
   <Body>
     <MessageIdentity>
       <Username>IdInMsg</Username>
       <Password>PwdInMsg</Password>
       <IssuedBy>InMsgIssuer</IssuedBy>
     </MessageIdentity>
   </Body>
</Envelope>

Security_Identity_MSG_ID.mbtest を参照してください。

Map To Identity は、WebSphere MQ ヘッダーの中で ID を渡せることを示すために使用される XML メッセージです。次いで、ID は Compute ノードを使用してマップ ID に設定され、フローが HTTP を介した発信要求を行う際に使用されます。
```
<?xml version="1.0" encoding="UTF-8"?>
 <Envelope>
   <Body>
     <MapIdentity>true</MapIdentity>
   </Body>
</Envelope>
```
Security_Identity_Mapped.mbtest を参照してください。

サンプルのホームに戻る