Handbuch für Informatica-Anwendungsdienst > Datenintegrationsdienst - Verwaltung > Sicherheitsverwaltung für Web-Dienste
  

Sicherheitsverwaltung für Web-Dienste

Ein HTTP-Clientfilter sowie die Protokolle TLS ( transport layer security) und MLS (message layer security) können einen sicheren Datentransfer und einen autorisierten Datenzugriff für einen Web-Dienst sicherstellen. Wenn Sie das Protokoll MLS konfigurieren, kann der Data Integration Service Anmeldedaten an die Verbindungen übergeben.
Folgende Sicherheitsoption kann für einen REST-Webdienst konfiguriert werden:
Ist Authentifizierung erforderlich
Aktiviert Basisauthentifizierung für den REST-Webdienst. Basisauthentifizierung erfordert, dass jede Webdienstanfrage einen Benutzernamen und ein Passwort für die Domäne enthält. Aktivieren Sie die Eigenschaft über den Datenintegrationsdienst im Administrator Tool. Klicken Sie auf Anwendungen > ApplicationName REST-Webdienst > isAuthenticationRequired. Wenn Authentifizierung erforderlich ist, benötigt jede GET-Anfrage einen Benutzernamen und ein Passwort. Erst dann kann der REST-Webdienst eine Antwort zurückgeben. Standardwert ist „Deaktiviert“.
Folgende Sicherheitsoptionen können für einen SOAP-Webdienst konfiguriert werden:
HTTP-Clientfilter
Wenn Sie möchten, dass der Data Integration Service die Anfragen auf der Basis des Hostnamen oder der IP-Adresse des Web-Service-Client akzeptiert, verwenden Sie das Administrator Tool, um einen HTTP-Clientfilter zu konfigurieren. Standardmäßig kann ein Web-Dienst-Client auf jeder Maschine ausgeführt werden und Anfragen versenden.
Message Layer Security (MLS)
Wenn Sie möchten, dass der Data Integration Service die Anmeldedaten in einer SOAP-Anfrage authentifiziert, verwenden Sie das Administrator Tool, um die WS-Security zu aktivieren und konfigurieren dann die Web-Dienst-Berechtigungen. Der Data Integration Service kann die Benutzerdaten prüfen, die als Benutzernamen-Token in einer SOAP-Anfrage bereit gestellt werden. Wenn das Benutzernamen-Token nicht gültig ist, weist der Data Integration Service die Anfrage ab und schickt eine im System definierte Fehlermeldung an den Web-Dienst-Client zurück. Hat der Benutzer keine Berechtigung für die Ausführung einer Web-Dienst-Operation, weist der Data Integration Service die Anfrage ab und schickt eine im System definierte Fehlermeldung an den Web-Dienst-Client zurück.
Transport Layer Security (TLS)
Wenn Sie möchten, dass der Web-Dienst und der Web-Dienst-Client über eine HTTPS-URL kommunizieren können, verwenden Sie das Administrator Tool, um die TL-Security für einen Web-Dienst zu aktivieren. Der Data Integration Service, auf dem der Webdienst ausgeführt wird, muss das HTTPS-Protokoll ebenfalls verwenden. Eine HTTPS-URL verwendet SSL, um eine sichere Verbindung für den Datentransfer zwischen einem Web-Dienst und einem Web-Client herzustellen.
Pass-Through-Sicherheit
Wenn ein Operations-Mapping Anmeldedaten für die Verbindung erfordert, kann der Data Integration Service die Anmeldedaten aus dem Benutzernamen-Token in der SOAP-Anfrage an die Verbindung übergeben. Um den Data Integration Service so zu konfigurieren, dass die Anmeldedaten an die Verbindung übergeben werden, verwenden Sie das Administrator Tool und konfigurieren den Data Integration Service so, dass er die Pass-Through-Sicherheit für die Verbindung verwendet; für den Web-Dienst aktivieren Sie dann die WS-Security.
HINWEIS: Die Pass-Through-Sicherheit lässt sich nicht verwenden, wenn der Benutzername-Token die Passwörter in Form von Hashwerten oder Zusammenfassungen enthält.

HTTP-Client-Filter

Ein HTTP-Client-Filter gibt einen Web-Dienst-Client-Computer an, der Anfragen an den Data Integration Service übertragen kann. Per Standard kann ein Web-Dienst-Client, der auf einem beliebigen Computer läuft, Anfragen senden.
Um Computer anzugeben, die eine Web-Dienst-Anfrage an einen Data Integration Service senden können, müssen Sie die HTTP-Client-Filtereigenschaften in den Eigenschaften für den Data Integration Service konfigurieren. Beim Konfigurieren dieser Eigenschaften vergleicht der Data Integration Service die IP-Adresse oder den Hostnamen der Computer, die Anfragen an den Web-Dienst richten, mit diesen Eigenschaften. Der Data Integration Service lässt entweder die Fortsetzung der Anfrage zu oder verweigert die Bearbeitung der Anfrage.
Als Werte für diese Eigenschaften können Sie Konstanten oder normale Java-Expressionen verwenden. Sie können einen Punkt (.) als Platzhalterzeichen in einem Wert mit aufnehmen.
HINWEIS: Sie können Anfragen von einem Web-Dienst-Client zulassen oder verweigern, der auf demselben Computer wie der Data Integration Service läuft. Geben Sie in der zugelassenen oder verweigerten Hostnameneigenschaft den Hostnamen des Data Integration Service Computers an.

Beispiel

Die Finanzabteilung möchte einen Web-Dienst konfigurieren, der Web-Dienstanfragen aus einem bestimmten IP-Adressbereich entgegennimmt. Um den Data Integration Service für die Entgegennahme von Web-Dienst-Anfragen von Computern in einem lokalen Netzwerk zu konfigurieren, geben Sie als zugelassene IP-Adresse folgende Expression ein:
“192\.168\.1\.[0-9]*”
Dann nimmt der Data Integration Service Anfragen von Computern mit IP-Adressen entgegen, die mit diesem Muster übereinstimmen. Außerdem verweigert der Data Integration Service die Bearbeitung von Anfragen, die von Computern mit IP-Adressen stammen, die nicht mit diesem Muster übereinstimmen.