保护 WS-Notification

WS-Notification 安全性实现要求在 WS-Notification 服务请求中传递用户标识。此标识用于认证客户机应用程序以及检查该客户机是否有权调用所请求的操作，并用于访问底层服务集成总线主题空间和主题资源。

有关此任务

WS-Notification 使用与其他 Web Service 相同的机制来提供经过认证的标识。例如，这些机制包括 WS-Security 或 HTTP 基本认证。

WS-Notification 的安全访问配置分为三部分：

保护应用程序与服务器之间的通信信道。
授权应用程序调用 NotificationBroker。
授权应用程序访问服务集成总线的资源。

如果启用了消息传递安全性，并且 WS-Security 或 HTTP 基本认证组件未配置为在 WS-Notification 请求中流动用户身份，那么所有此类请求都将被视为未经认证，并且只能访问 WebSphere® Application Server 每个人组可访问的消息传递资源。

过程

保护应用程序与服务器之间的通信：
1. 通过配置 WS-Notification 服务点为入站请求和关联响应提供安全性。
  - 对于基于 JAX-WS 的 V 7.0 WS-Notification 服务点，将启用安全性的策略集连接到与该服务点相关联的应用程序。对于基于 JAX-RPC 的 6.1 WS-Notification 服务点，配置与该服务点相关联的入站端口的安全性。
  - 如果使用 SOAP over HTTP 作为 WS-Notification 服务点的绑定，请将其修改为使用 SOAP over HTTPS。
  - 如果正在使用 SOAP over JMS 作为绑定（对于 V6.1 WS-Notification 服务），那么将客户机应用程序使用的 JMS 连接工厂配置为使用安全通信协议与 JMS 提供程序进行通信。执行此操作的具体方法取决于 JMS 提供程序。如果使用服务集成总线作为 JMS 提供程序，请将客户机配置为使用 SSL 与服务器进行通信，方法是将 target inbound transport chain 设置为 InboundSecureMessaging。
2. 通过配置 WS-Notification 服务，为出站请求（例如从服务器发送到所预订使用者的通知）提供安全性。
  - 对于基于 JAX-WS 的 V 7.0 WS-Notification 服务，所涉及的步骤类似于将安全性应用于 JAX-WS Web Service 客户机所涉及的步骤，但所创建的任何绑定或配置都将应用于 WS-Notification 服务。
  - 对于基于 JAX-RPC 的 V6.1 WS-Notification 服务，所涉及步骤类似于对启用了服务集成总线的 Web Service 出站端口应用安全性时涉及的步骤，但所创建的任何绑定或配置将应用于 WS-Notification 服务。有关更多信息，请参阅保护支持总线的 Web Service 及其子主题，特别是通过 HTTPS调用出站服务。
3. 还可使用 WS-Security 签署或加密 SOAP 消息。
  - 对于基于 JAX-WS 的版本 7.0 WS-Notification 服务
  - 对于基于 JAX-RPC 的版本 6.1 WS-Notification 服务
授权应用程序调用 NotificationBroker：
1. 配置客户机应用程序，以提供适当的标识。
  要授权 Web Service 应用程序与服务器进行通信，该应用程序必须将其本身标识成作为特定经过认证的标识运行。完成此任务的机制取决于所使用的 Web Service 绑定的类型：
  - 如果要使用 SOAP over HTTP Web Service 绑定，请使用 HTTP 基本认证或 WS-Security 来提供已认证的身份。
  - 如果要使用 SOAP over JMS Web Service 绑定 (对于 V 6.1 WS-Notification 服务) ，请使用 WS-Security 来提供已认证的身份。
2. 配置服务器，以授权客户机应用程序标识执行所请求的操作。
  - 对于基于 JAX-WS 的 V 7.0 WS-Notification 服务，可以使用 Web Service 策略集 (例如， Username WS-I RSP default 或 Username WSSecurity default 策略集) 对与服务点相关联的企业应用程序中部署的 Web Service 应用授权。
  - 对于基于 JAX-RPC 的 6.1 WS-Notification 服务，您可以对整个入站服务应用授权 (例如， WS-Notification 服务点的 NotificationBroker 端点) ，或者为每个 Web Service 操作单独配置授权约束。
授权应用程序访问服务集成总线的资源。

服务集成总线安全性使用基于角色的授权。在将用户指定给某个角色时，会将该角色包含的所有许可权授予该用户。通过管理许可权，可以控制消息传递安全性处于启用状态时用户对总线及其资源的访问权。
1. 授权应用程序身份能够连接到服务集成总线。
2. 在该应用程序能够连接至总线后，授权该应用程序访问该总线上的适当目标。
  
  通过检查应用程序使用的 WS-Notification 主题名称空间，然后查看适当的 WS-Notification 永久主题名称空间以查找它所映射的服务集成总线主题空间，可以确定所需的服务集成总线主题空间。然后，可以授予授权 (例如，发送方或接收方角色) 已认证的身份以访问该主题空间。
3. 在授权客户机应用程序访问相应的主题空间目标之后，您可能还需要授权客户机应用程序访问主题空间目标中的各个主题。