安全概要文件定义要在 SecurityPEP 节点和启用了安全性的输入和输出节点的消息流中执行的安全性操作。
集成管理员在部署消息流之前配置安全概要文件,而安全管理器在运行时访问此概要文件。
通过安全概要文件,集成管理员可以指定是否对与消息流中的消息关联的身份或安全令牌执行认证、授权、映射和传播。 您可以创建安全概要文件来用于外部安全提供程序,以提供安全性实施和映射。安全概要文件也称为策略决策点 (PDP)。 支持 IBM® Tivoli® Federated Identity Manager (TFIM) V6.1 和符合 WS-Trust v1.3 的安全性令牌服务 (包括 TFIM V6.2) 用于认证,授权和映射。 认证和授权支持轻量级目录访问协议 (LDAP)。 作为使用外部安全提供程序进行认证的替代方法,您可以创建安全概要文件以针对集成服务器的保险库文件中本地保存的凭证进行认证,如 使用存储在保险库文件中的凭证对入局请求进行认证中所述。
安全概要文件会应用于以下启用了安全性的消息流节点:
- CICSRequest
- HTTPInput
- HTTPRequest
- HTTPAsyncRequest
- IMSRequest
- MQInput
- MQOutput
- MQReply
- RESTRequest
- RESTAsyncRequest
- SAPRequest
- SecurityPEP
- SiebelRequest
- SOAPInput
- SOAPReply
- SOAPRequest
- SOAPAsyncRequest
这些节点具有
Security Profile 属性,您可以在该属性中指定用于确定为节点配置的安全性类型的安全概要文件的名称。 如果指定的安全概要文件在运行时不存在,那么消息流将无法部署。 如果指定的外部安全提供程序不支持节点上为安全操作配置的令牌类型,那么会报告错误,并且消息流部署无法部署。 如果安全概要文件指定了本地认证,但尚未创建凭证或别名不匹配,那么部署的消息流将无法启动。 有关更多信息,请参阅
使用存储在保险库文件中的凭证来认证入局请求。
管理员可以在部署时在 BAR 文件编辑器中配置安全概要文件。 启用安全性的节点在 BAR文件编辑器中具有 Security Profile 属性,此属性可以保留为空,设置为 无安全性或设置为特定安全概要文件名称。 设置为无安全性表示对消息流节点显式关闭安全性。 如果 Security Profile 属性为空白,那么该节点将继承在消息流级别设置的 Security Profile 属性。 如果 Security Profile 属性在这两个级别都保留为空白,那么将关闭消息流节点的安全性。
安全概要文件还指定是否需要进行传播。 系统提供了预先配置的概要文件,该概要文件指定了传播,供输出节点和请求节点使用。 此概要文件是缺省传播安全概要文件。 此概要文件还可以在输入节点上用于抽取令牌,并将其放入消息树中,以便在 SecurityPEP 节点中进行传播或处理。
安全概要文件包含以下属性的值:
- alternateServers
定义要在主服务器不可用时故障转移到的 LDAP 服务器的逗号分隔列表。 该列表的格式如下:
ldap[s]://host1:[port1], ldap[s]://host2:[port2], ldap[s]://host3:[port3]
故障转移后,新连接的 LDAP 服务器将成为主服务器。
- authentication
- 定义在源身份上执行的认证的类型。 有关更多信息,请参阅 认证和验证。
- authenticationConfig
- 定义集成服务器对身份进行认证所需的信息,可以是下列其中一个值:
- 本地存储在集成服务器保险库文件中的凭证的已配置别名。 当 Authentication 类型为 Local时,这些凭证用于基本认证。 有关更多信息,请参阅 使用存储在保险库文件中的凭证来认证入局请求。
- 集成服务器 连接到外部安全提供程序并查找身份令牌所需的信息。 此属性采用特定于提供程序的配置字符串格式。
- mapping
- 定义在源身份上执行的映射的类型。 有关更多信息,请参阅 身份映射。
- mappingConfig
- 定义集成节点连接到提供程序的方式,并包含查找映射例程所需的附加信息。 这是特定于提供程序的配置字符串。
- authorization
- 定义在映射身份或源身份上执行的授权检查的类型。 有关更多信息,请参阅 授权。
- authorizationConfig
- 定义集成节点连接到提供程序的方式,并包含可以用于检查访问权的附加信息(例如,可以用于检查成员资格的组)。 这是特定于提供程序的配置字符串。
- passwordValue
- 定义如何在密码进入消息流时对其进行处理。 如果选择了 PLAIN,那么密码将以明文格式出现在 Properties 文件夹中。 如果选择了 OBFUSCATE,那么密码将以基本 64 位编码格式出现在 Properties 文件夹中。 如果选择了 MASK,那么密码将以四个星号 (****) 出现在 Properties 文件夹中。
- 传播
- 启用或禁用输出和请求节点上的身份传播。 对于启用了安全性的输入节点,您可以仅选择身份传播,而不指定任何其他安全性操作,以使抽取的入局身份令牌或安全性令牌可供消息流中的其他节点(例如输出节点或请求节点)使用。 有关更多信息,请参阅 身份和安全性令牌传播。
- idToPropagateToTransport
- 支持将特定安全身份用于传播。 将该值设置为 STATIC ID,并使用 transportPropagationConfig 参数来设置安全身份。
- transportPropagationConfig
- 在 idToPropagateToTransport 设置为 STATIC ID 时,提供要传播的特定安全身份。 运行 mqsicredentials 命令时,将该值设置为与静态用户名和密码身份关联的名称。 或者,可以使用 mqsisetdbparms 命令。 有关更多信息,请参阅 配置消息流以进行身份传播。
有关配置安全概要文件设置的信息,请参阅 创建安全概要文件。