Anwendungen mit Web-Messaging schützen

Beim Konfigurieren einer Anwendung mit Web-Messaging müssen zwei verschiedene Aspekte berücksichtigt werden, der Schutz des ankommenden URI und die Konfiguration der Clientauthentifizierung und -autorisierung für den Service Integration Bus.

Web-Messaging-URL schützen

Je nach Art der von Ihnen geschriebenen Web-Messaging-Anwendung kann es ratsam sein, den Zugriff auf einen Web-Messaging-URI einzuschränken. Web-Messaging-URIs können mit Standardmethoden für Webanwendungssicherheit geschützt werden. Wenn ein Web-Messaging-URI geschützt ist, wird die Bayeux-Handshakeanforderung mit den normalen Methoden für Webanwendungssicherheit authentifiziert und autorisiert. Weitere Informationen finden Sie im Abschnitt Anwendungen während der Assemblierung und Implementierung sichern. Wenn die Anwendungssicherheit aktiviert ist, wird normalerweise auch die Transportsicherheit aktiviert. Der Web-Messaging-Service nutzt vorhandene Transportketten für Webcontainer, und wenn Sie den Web-Messaging-Service für eine geschützte Transportkette aktivieren, wird die Kommunikation für alle Bayeux-Operationen geschützt.

SIB-Authentifizierung und -Autorisierung

Wenn Sie eine Anwendung mit Web-Messaging mit aktivierter Sicherheit konfigurieren, dürfen Sie nicht vergessen, die Sicherheitsanforderungen auf die Interaktionen des Service Integration Bus auszudehnen, sofern kein triftiger Grund dagegen spricht. Berücksichtigen Sie bei der Planung Ihres Sicherheitsmodells die nachfolgend beschriebenen Sicherheitsaspekte des Service Integration Bus. Weitere Informationen finden Sie im Abschnitt Informationen zur Sicherheit der Serviceintegration. Wenn Web-Messaging-Clients eine Verbindung zu einem geschützten Service Integration Bus herstellen, können Sie erst nach ihrer Authentifizierung und Autorisierung auf die Ressourcen des Service Integration Bus zugreifen.

Ein Web-Messaging-Client muss Berechtigungsnachweise für die Authentifizierung gegenüber einem geschützten Service Integration Bus vorweisen. Für die Bereitstellung von Berechtigungsnachweisen gibt es zwei Möglichkeiten: den J2C-Authentifizierungsalias oder Webberechtigungsnachweise. Welche dieser Methoden am besten geeignet ist, hängt von den Anforderungen der Anwendung ab. Die Web-Messaging-Konfigurationsoptionen authType und authAlias geben an, welcher Typ verwendet werden soll. Ausführliche Konfigurationsinformationen enthält der Artikel SIB-Konfiguration.

J2C-Authentifizierungsalias

Mit einem J2C-Authentifizierungsalias können sich Web-Messaging-Clients gegenüber dem Service Integration Bus authentifizieren. In folgenden Situationen sollte ein Authentifizierungsalias verwendet werden:

  • Die Websicherheit ist inaktiviert, und die Bussicherheit ist aktiviert. Die Angabe eines Authentifizierungsalias ist die einzige Möglichkeit für Web-Messaging-Clients, auf den Service Integration Bus zuzugreifen.
  • Es ist zulässig, dass alle Web-Messaging-Clients, die an demselben URI ankommen, denselben SIB-Topicbereich und dieselben Topicberechtigungen verwenden. In einem solchen Fall ist es einfacher, die Berechtigungen für eine Authentifizierungsinstanz zu verwalten, als die Berechtigungen für jeden authentifizierten Webbenutzer zu verwalten.
Webberechtigungsnachweise Bei aktivierter Websicherheit können Webberechtigungsnachweise als Authentifizierungsdaten für die Verbindung zu einem sicheren Service Integration Bus verwendet werden. Die beiden unterstützten Webberechtigungsnachweise sind die Basisauthentifizierungsdaten und LTPA-SSO-Cookies. In Ihrer Web-Messaging-Konfigurationsdatei sollten Sie authType in den folgenden Situationen auf basic oder sso setzen:
  • Die Websicherheit ist aktiviert. Die HTTP-Anforderung muss lesbare Basisauthentifizierungsdaten oder LTPA-Cookieinformationen enthalten. Stehen diese Informationen nicht zur Verfügung, scheitert der Zugriff auf einen sicheren Service Integration Bus. Wenn ein TAI (Trust Association Interceptor) verwendet wird, können Webberechtigungsnachweise wahrscheinlich nur begrenzt gelesen werden. In solchen Fällen können Sie nur den J2C-Authentifizierungsalias verwenden.
  • Für Web-Messaging-Benutzer ist ein differenzierter Topicbereich bzw. sind differenzierte Topicberechtigungen erforderlich. In diesem Fall müssen Sie die folgenden Autorisierungsschritte ausführen, um Benutzern oder Gruppen den Zugriff auf Ressourcen des Service Integration Bus zu ermöglichen.

   

Der Service Integration Bus kann eine Reihe von Sicherheitsprüfungen durchführen, die die Berechtigungen unterschiedlich differenziert auswerten. Alle angegebenen Authentifizierungsdaten müssen den folgenden Berechtigungsstufen entsprechen.

Bus-Connector-Berechtigung Die Bus-Connector-Berechtigung ist die erste erforderliche Berechtigungsstufe für den Zugriff auf einen Service Integration Bus und ermöglicht das Herstellen einer Verbindung zum Bus. Dieser Zugriff kann wie bei anderen Berechtigungen für einzelne Benutzer oder für Benutzergruppen gewährt werden. Details zum Konfigurieren der Berechtigung für die Bus-Connector-Rolle finden Sie im Abschnitt Bus-Connector-Rollen verwalten.
Sicherheit des Topicbereichs (Ziel) Nachdem eine Anwendung die Überprüfung der Bus-Connector-Berechtigung bestanden hat, wird sie versuchen, auf ein Ziel zuzugreifen. Im Falle von Bayeux-Anwendungen sind dies die Topicbereichsziele, die in der Bayeux-Konfiguration oder im Kanalnamen angegeben sind.

Jedes Ziel sind eine Reihe von Rollen zugeordnet, die genau steuern, welche Art von Aktion eine bestimmte Anwendung oder ein bestimmter Benutzer ausführen kann. Für Bayeux-Anwendungen sind besonders die Rollen "Receiver" (Empfänger) und "Sender" (Sender) interessant. In der Empfängerrolle kann die Anwendung Subskriptionen erstellen und Ereignisse empfangen. In der Senderrolle kann sie Ereignisse im Topicbereich veröffentlichen. Details zum Konfigurieren dieser Berechtigungsrollen für einen bestimmten Topicbereich finden Sie im Abschnitt Zielsicherheit.

Zielsicherheit Innerhalb eines Topicbereichs kann der Zugriff ebenfalls differenziert für einzelne Topics oder Topiczweige gesteuert werden. So kann eine Anwendung daran gehindert werden, die Ereignisse zu sehen, die eine andere Anwendung in anderen Topics veröffentlicht hat, auch wenn diese in demselben Topicbereich veröffentlicht wurden.

Wie die Sicherheit auf Topicebene konfiguriert wird, ist detailliert in den folgenden Artikeln beschrieben:



Nutzungsbedingungen | Feedback