セキュリティー・プロファイル

セキュリティー・プロファイルは、 SecurityPEP ノードおよびセキュリティーが有効な入出力ノードのメッセージ・フローで実行されるセキュリティー操作を定義します。

セキュリティー・プロファイルは、メッセージ・フローのデプロイ前に統合管理者により構成され、実行時にセキュリティー・マネージャーによりアクセスされます。

セキュリティー・プロファイルにより、統合管理者は、メッセージ・フローでメッセージに関連付けられている ID またはセキュリティー・トークンに対して、認証、許可、マッピング、および伝搬を実行するかどうかを指定できます。 セキュリティー強化とマッピングを提供するために、外部セキュリティー・プロバイダー (ポリシー決定ポイント (PDP) とも呼ばれる) で使用するセキュリティー・プロファイルを作成できます。 IBM® Tivoli® Federated Identity Manager (TFIM) V6.1 および WS-Trust v1.3 準拠の Security Token Service (TFIM V6.2を含む) は、認証、許可、およびマッピングでサポートされます。 Lightweight Directory Access Protocol (LDAP) は、認証および許可用にサポートされています。 認証に外部セキュリティー・プロバイダーを使用する代わりに、 ボールトに保管されている資格情報を使用した着信要求の認証で説明されているように、統合サーバーのボールトにローカルに保持されている資格情報に対して認証を行うためのセキュリティー・プロファイルを作成できます。

セキュリティー・プロファイルは、以下のセキュリティー対応メッセージ・フロー・ノードに適用されます。
  • CICSRequest
  • HTTPInput
  • HTTPRequest
  • HTTPAsyncRequest
  • IMSRequest
  • MQInput
  • MQOutput
  • MQReply
  • RESTRequest
  • RESTAsyncRequest
  • SAPRequest
  • SecurityPEP
  • SiebelRequest
  • SOAPInput
  • SOAPReply
  • SOAPRequest
  • SOAPAsyncRequest
これらのノードには、Security Profile プロパティーがあります。このプロパティーでは、ノードに対して構成されているセキュリティーのタイプを決定するセキュリティー・プロファイルの名前を指定できます。 名前の指定されたセキュリティー・プロファイルが実行時に存在しない場合、メッセージ・フローはデプロイに失敗します。 指定された外部セキュリティー・プロバイダーが、セキュリティー操作のためにノードに構成されたトークン・タイプをサポートしていない場合は、エラーが報告され、メッセージ・フローはデプロイに失敗します。 セキュリティー・プロファイルでローカル認証が指定されているが、資格情報が作成されておらず、別名も一致しない場合は、デプロイされたメッセージ・フローの開始に失敗します。 詳しくは、 ボールトに保管されている資格情報を使用した着信要求の認証を参照してください。

セキュリティー・プロファイルは、デプロイメント時に BAR ファイル・エディターで管理者が構成できます。 セキュリティーが有効なノードには、 BARファイル・エディターの Security Profile プロパティーがあります。このプロパティーは、ブランクのままにすることも、 「セキュリティーなし」に設定することも、特定のセキュリティー・プロファイル名に設定することもできます。 メッセージ・フロー・ノードのセキュリティーを明示的にオフにするには、「セキュリティーなし」を設定します。 Security Profile プロパティーがブランクの場合、ノードは、メッセージ・フロー・レベルで設定された Security Profile プロパティーを継承します。 両方のレベルで Security Profile プロパティーをブランクのままにすると、メッセージ・フロー・ノードのセキュリティーがオフになります。

セキュリティー・プロファイルでは、伝搬が必要かどうかも指定されます。 伝搬を指定する事前構成プロファイルは、出力および要求の各ノードの使用のために提供されています。 このプロファイルは「デフォルト伝搬」セキュリティー・プロファイルです。 また、このプロファイルを入力ノードで使用して、トークンを抽出し、 SecurityPEP ノードでの伝搬または処理の準備ができたメッセージ・ツリーに入れることもできます。

セキュリティー・プロファイルには、以下のプロパティーの値が含まれます。

alternateServers
1 次サーバーが使用可能でない場合にフェイルオーバーする LDAP サーバーのコンマ区切りリストを定義します。 このリストの形式は以下のとおりです。
ldap[s]://host1:[port1], ldap[s]://host2:[port2], ldap[s]://host3:[port3]
フェイルオーバー後、新たに接続された LDAP サーバーが 1 次サーバーになります。
認証
ソース ID に対して実行される認証のタイプを定義します。 詳しくは、 認証および検証を参照してください。
authenticationConfig
ID を認証するために統合サーバーが必要とする情報を定義します。これは、以下の値のいずれかにすることができます。
  • 統合サーバーのボールト内にローカルに保管されている資格情報の構成済みの別名。 これらの資格情報は、 Authentication タイプが Localの場合に基本認証に使用されます。 詳しくは、 ボールトに保管されている資格情報を使用した着信要求の認証を参照してください。
  • 統合サーバー が外部セキュリティー・プロバイダーに接続して ID トークンを検索するために必要な情報。 このプロパティーは、プロバイダー固有の構成ストリングの形式です。
マッピング
ソース ID に対して実行されるマッピングのタイプを定義します。 詳しくは、 ID マッピングを参照してください。
mappingConfig
統合ノードがプロバイダーに接続する方法を定義し、マッピング・ルーチンを検索するために必要な追加情報が含まれています。 これはプロバイダー固有の構成ストリングです。
許可
マップ済みまたはソース ID に対して実行される許可検査のタイプを定義します。 詳しくは、 許可を参照してください。
authorizationConfig
統合ノードがプロバイダーに接続する方法を定義し、アクセスの検査に使用するための追加情報 (例えば、メンバーシップを検査できるグループなど) が含まれています。 これはプロバイダー固有の構成ストリングです。
passwordValue
パスワードがメッセージ・フローに入力されるときに、どのように扱われるかを定義します。 PLAIN を選択した場合、パスワードはプレーン・テキストで「プロパティー」フォルダーに表示されます。 OBFUSCATE を選択した場合、パスワードは Base64 エンコードで「プロパティー」フォルダーに表示されます。 MASK を選択した場合、パスワードは 4 つのアスタリスク (****) として「プロパティー」フォルダーに表示されます。
伝搬
出力/要求ノード上で ID 伝搬を有効または無効にします。 セキュリティーを有効にした入力ノード上で ID 伝搬のみを選択し、他の一切のセキュリティー操作を指定しないことにより、抽出された着信 ID またはセキュリティー・トークンを、出力ノードや要求ノードなど、メッセージ・フロー内の他のノードで使用できるようにすることができます。 詳しくは、 ID およびセキュリティー・トークンの伝搬を参照してください。
idToPropagateToTransport
伝搬用に特定のセキュリティー ID の使用を可能にします。 値を STATIC ID に設定し、transportPropagationConfig パラメーターを使用してセキュリティー ID を設定します。
transportPropagationConfig
idToPropagateToTransportSTATIC ID に設定されている場合に、伝搬する特定のセキュリティー ID を指定します。 この値は、mqsicredentials コマンドの実行時に静的ユーザー名とパスワード ID に関連付ける名前に設定します。 あるいは、 mqsisetdbparms コマンドを使用することもできます。 詳しくは、 ID 伝搬のためのメッセージ・フローの構成を参照してください。

セキュリティー・プロファイルの設定の構成については、 セキュリティー・プロファイルの作成を参照してください。