消息流安全性和安全概要文件

IBM® App Connect Enterprise 提供了一个安全管理器,用于实现消息流安全,从而基于消息实例中携带的身份信息,确保消息在消息流中的端到端处理过程的安全。

有关受支持的外部提供程序以及消息流安全性管理器的操作的详细信息,请参阅 消息流安全性概述。 有关 SOAP 节点和外部安全提供程序支持的令牌类型的信息,请参阅 身份

如果消息流是使用 SOAP 节点 实现的 Web Service ,并且要从 WS-Security SOAP 头获取身份,那么 SOAP 节点是策略实施点 (PEP) ,而 安全概要文件 定义的外部提供程序是策略决策点 (PDP)。

要根据 WS_Security 令牌中携带的身份实现消息流安全性,需要以下配置。
  • 策略集 定义用于身份的令牌类型。
    • 要使用用户名和密码身份,请配置用户名令牌 认证的策略和绑定。
    • 要使用 X.509 证书身份,请配置 X.509 证书令牌 认证的策略和绑定。
      • 在策略集绑定中,将 X.509 证书认证令牌证书方式设置为信任所有。 设置为此值(而不是信任库)可使得证书传递到由安全概要文件定义的安全提供程序。 将其设置为信任库将导致在本地集成节点信任库中验证证书。 有关更多详细信息,请参阅 "策略集和策略集绑定" 编辑器: "认证和保护令牌" 面板
    • 要使用 SAML 断言令牌,请配置 SAML 令牌身份验证的策略和绑定。
  • 消息流安全性操作和外部提供程序由 安全概要文件 定义

作为对消息流安全性和外部 PDP 的替代,可以将集成节点的信任库用作本地 PDP 以进行 X.509 证书认证。 对于仅使用本地集成节点功能的 WS-Security 签名和加密,必须配置集成节点的信任库。 有关详细信息,请参阅 在集成节点级别查看和设置密钥库和信任库运行时属性在集成服务器级别查看和设置密钥库和信任库运行时属性

在 SOAP 节点中,支持基于 Kerberos 的 WS-Security。 使用 Kerberos 来实现安全性时,SOAP 节点的 WS-Security 处理直接与主机的 Kerberos 基础结构相链接。 必须对集成节点主机进行 Kerberos 配置,从而提供 krb.conf 文件以定义 Kerberos 密钥分发中心 (KDC) 和缺省领域。 另外,还必须配置 Kerberos keytab 文件。 有关配置 Kerberos 的更多信息,请参阅主机的 Kerberos 文档。

要在 SOAP 节点中使用 Kerberos WS-Security ,请在 "消息级别保护" 面板上创建指定 Kerberos 对称加密令牌的策略集和绑定; 请参阅 "策略集和策略集绑定" 编辑器: "消息级别保护" 面板。 另请在 " Kerberos 设置" 面板上配置必需的设置,如 策略集和策略集绑定编辑器: Kerberos 设置面板中所述,然后将此策略集和绑定与 SOAP 节点相关联。 另外,还可以使 SOAP 节点与仅设置了传播的安全概要文件相关联,以便可以使用 Kerberos 来完成下列操作:
  • 从 SOAP 输入节点中抽取服务主体作为“用户名”令牌
  • 将 Kerberos 密钥分发中心 (KDC) 凭证作为“用户名和密码”传播到 SOAP 请求节点。