Há dois aspectos diferentes na configuração de um aplicativo ativado pelo sistema de mensagens da Web: proteger a URI que chega e configurar a autenticação de cliente e a autorização para o barramento de integração de serviços.
Dependendo do tipo de aplicativo de sistema de mensagens da Web que você está gravando, talvez você queira restringir o acesso a uma URI do sistema de mensagens da Web. A URI do sistema de mensagens da Web pode ser protegida utilizando métodos de segurança padrão do aplicativo da Web. Quando uma URI do sistema de mensagens da Web for protegida, o protocolo de reconhecimento Bayeux será autenticado e autorizado utilizando métodos de segurança normais do aplicativo da Web. Consulte os seguintes tópicos: seção Protegendo aplicativos durante a montagem e implementação para obter informações adicionais. Quando a segurança do aplicativo está ativada, é
comum ativar a segurança de transporte. O serviço de sistema de mensagens da Web compartilha cadeias de transporte do contêiner de Web e, se você ativar o serviço de sistema de mensagens da Web em uma cadeia de transporte protegida, a comunicação será protegida para todas as operações do Bayeux.
Ao configurar um aplicativo ativado pelo sistema de mensagens da Web com segurança ativada, é importante entender que os requisitos de segurança devem ser estendidos até as interações do barramento de integração de serviços, a menos que haja uma razão específica para não fazer isso. Ao planejar o modelo de segurança, você deve considerar cada um dos aspectos de segurança no barramento de integração de serviços descrito abaixo. Consulte o seguinte tópico: Aprendendo sobre a segurança de integração de serviço para obter informações adicionais. Quando clientes do sistema de mensagens da Web se conectam a um barramento de integração de serviços protegido, o cliente deve ser autenticado e autorizado a acessar recursos de barramento de integração de serviços.
Um cliente do sistema de mensagens da Web fornece credenciais para se autenticar em um barramento de integração de serviços protegido. Há duas opções para os métodos de fornecimento de credenciais: alias de autenticação ou credenciais da Web JavaTM 2 Connector. O método ideal a ser usado depende das necessidades do aplicativo. As opções de configuração do sistema de mensagens da Web, authType e authAlias, especificam o tipo a ser utilizado. Consulte o tópico Configuração do Barramento de Integração de Serviços para obter informações de configuração detalhadas.
Alias de Autenticação do Java 2 Connector | Um alias de autenticação do Java 2 Connector é um método para permitir que clientes do sistema de mensagens da Web se autentiquem no barramento de integração de serviços. Um alias de autenticação deve ser utilizado nas seguintes situações:
|
---|---|
Credenciais da Web | Quando a segurança da Web está ativada, as credenciais da Web podem ser utilizadas como informações sobre autenticação para conexão com um barramento de integração de serviços protegido. Os cookies de autenticação básica e de conexão única de LTPA são os dois tipos de credenciais da Web suportados. Você deve configurar o arquivo de configuração do sistema de mensagens da Web para utilizar um authType básico ou sso sob as seguintes condições:
|
O barramento de integração de serviços fornece uma série de verificações de segurança que permitem a validação da autorização em diferentes granularidades. Os seguintes níveis de autorização devem ser atendidos para qualquer dado de autenticação especificado.
Autorização do conector do barramento | O primeiro nível de autorização necessário para acessar um barramento de integração de serviços é a capacidade de conexão com o barramento ou a autorização do conector do barramento. Como outras autorizações, é possível conceder esse acesso a usuários individuais ou a um grupo de usuários. Detalhes sobre como configurar autorização para a função de conector de barramento podem ser localizados no tópicoAdministrando funções de conector de barramento. |
---|---|
Segurança do Espaço de Tópico (Destino) | Assim que um aplicativo for aprovado na verificação de autorização
do conector de barramento, a próxima coisa que ele precisará fazer será
acessar um destino.
No caso de aplicativos Bayeaux, este será o
destino de espaço de tópico (ou destinos) especificado na configuração do Bayeaux ou no nome do canal. Cada destino possui um conjunto de funções individuais associadas a ele que controlam o tipo exato de ação que um determinado aplicativo ou usuário pode executar. Para aplicativos Bayeaux, as funções de interesse mais comuns são a função de Receptor para ativar o aplicativo para criar assinaturas e receber eventos e a função de Emissor para publicar eventos no espaço de tópico. Detalhes sobre como configurar essas funções de autorização para um determinado espaço de tópico podem ser localizados nos seguintes tópicoSegurança de destino. |
Segurança de Tópico | Em um espaço de tópicos, também é possível configurar o controle de acesso
de baixa granularidade sobre tópicos individuais ou ramificações de tópicos. Isso significa que um aplicativo pode ser impedido de ver os
eventos publicados em outros tópicos por um aplicativo diferente, mesmo se esses eventos estiverem sendo publicados no mesmo espaço de tópico. Detalhes sobre como configurar a segurança de nível de tópico podem ser encontrados nos tópicos a seguir; |