WebSphere Application Server 的 Tivoli Access Manager 安全

WebSphere® Application Server 提供內嵌式 IBM® Tivoli ® Access Manager 用戶端技術,以保護 WebSphere Application Server受管理資源的安全。

只有在 Tivoli Access Manager 用戶端程式碼與 Tivoli Access Manager 伺服器搭配使用時,才適用這裡說明的使用 Tivoli Access Manager 的好處:
  • 健全的儲存器型授權
  • 集中式原則管理
  • 管理一般身分、使用者設定檔及授權機制
  • 使用 Tivoli Access Manager Web Portal Manager 的管理主控台, Java™ Platform, Enterprise Edition (Java EE) 相容及不合規 Java EE 資源的單點安全管理
  • 應用程式的編碼或部署變更沒有任何需求
  • 使用 WebSphere Application Server 管理主控台來輕鬆管理使用者、群組和角色

WebSphere Application Server 支援 Java Authorization Contract for Containers (JACC) 規格。 JACC 詳細說明 Java EE 儲存器和授權提供者的合約需求。 使用此合約,授權提供者可以對 Java EE 應用程式伺服器 (例如 WebSphere Application Server) 中的資源執行存取決策。 內嵌在 WebSphere Application Server 內的 Tivoli Access Manager 安全公用程式符合 JACC 標準,且用於:

  • 部署應用程式時新增安全原則資訊
  • 授權存取 WebSphere Application Server安全資源。

部署應用程式時,內嵌式 Tivoli Access Manager 用戶端會採用儲存在應用程式部署描述子內的任何原則及使用者和角色資訊,或使用註釋並儲存在 Tivoli Access Manager 原則伺服器內。

當使用者要求存取 WebSphere Application Server所管理的資源時,也會呼叫 Tivoli Access Manager JACC 提供者。

圖 1. 內嵌式 Tivoli Access Manager 用戶端架構
此圖說明下列事件順序
上圖說明下列事件順序:
  1. 存取受保護資源的使用者會使用 Tivoli Access Manager 登入模組進行鑑別,該模組已配置為在啟用內嵌 Tivoli Access Manager 用戶端時使用。
  2. WebSphere Application Server 儲存器會使用 Java EE 應用程式部署描述子和註釋中的資訊,來決定必要的角色成員資格。
  3. WebSphere Application Server 使用內嵌式 Tivoli Access Manager 用戶端,向 Tivoli Access Manager 授權伺服器要求授權決策。 其他環境定義資訊 (如果有的話) 也會傳遞至授權伺服器。 這項環境定義資訊包含 Cell 名稱、 Java EE 應用程式名稱和 Java EE 模組名稱。 如果 Tivoli Access Manager 原則資料庫具有針對任何環境定義資訊指定的原則,則授權伺服器會使用此資訊來進行授權決策。
  4. 授權伺服器會查閱在 Tivoli Access Manager 受保護物件空間內為指定使用者定義的許可權。 受保護物件空間是原則資料庫的一部分。
  5. Tivoli Access Manager 授權伺服器會將存取決策傳回內嵌的 Tivoli Access Manager 用戶端。
  6. WebSphere Application Server 根據從 Tivoli Access Manager 授權伺服器傳回的決策,授與或拒絕對受保護方法或資源的存取權。
在其核心, Tivoli Access Manager 提供鑑別及授權架構。 您可以檢閱產品說明文件,以進一步瞭解 Tivoli Access Manager ,包括制定部署決策所需的資訊。 IBM Tivoli Access Manager for e-business 文件中提供下列手冊:
  • IBM Tivoli Access Manager for e-business 安裝手冊

    本手冊說明如何規劃、安裝及配置 Tivoli Access Manager 安全網域。 使用一系列簡易安裝 Script ,您可以快速部署功能完整的安全網域。 當建立安全網域部署的原型時,這些 Script 非常有用。

    若要在 IBM Tivoli Access Manager for e-business 文件中存取本手冊,請按一下 Access Manager for e-business> 安裝與升級資訊> 安裝手冊

  • IBM Tivoli Access Manager for e-business 管理手冊

    本文件呈現用於管理受保護資源之 Tivoli Access Manager 安全模型的概觀。 本手冊說明如何配置 Tivoli Access Manager 伺服器,以制定存取控制決策。 此外,詳細指示還說明如何執行重要作業,例如宣告安全原則、定義受保護物件空間,以及管理使用者和群組設定檔。

    若要在 IBM Tivoli Access Manager for e-business 文件中存取本手冊,請按一下 Access Manager for e-business> 管理資訊> 管理手冊

圖 2. Tivoli Access Manager 提供多部伺服器的集中管理
顯示受 Tivoli Access Manager 保護的 WebSphere Application Server 的範例架構。

上圖是一個範例架構,顯示受 Tivoli Access Manager 保護的 WebSphere Application Server

參與的 WebSphere Application Server 會使用 Tivoli Access Manager 原則資料庫的本端抄本,對送入的要求進行授權決策。 本端原則資料庫是主要原則資料庫的抄本。 主要原則資料庫會隨 Tivoli Access Manager 安裝一起安裝。 在每一個參與的 WebSphere Application Server 節點上具有原則資料庫抄本,可在制定授權決策時最佳化效能,並提供失效接手功能。

雖然授權伺服器也可以安裝在與 WebSphere Application Server相同的系統上,但圖表中不會說明此配置。

在範例架構中, Tivoli Access Manager 及 WebSphere Application Server 的所有實例都共用機器 E 上的「輕量型目錄存取通訊協定 (LDAP)」使用者登錄。

Tivoli Access Manager 也支援 WebSphere Application Server 支援的 LDAP 登錄。

在針對不同 Tivoli Access Manager 伺服器所配置的相同主機上,可以有個別 WebSphere Application Server 設定檔。 這種架構需要將設定檔配置給個別的 Java SE 執行時期環境 (JRE 6) ,因此您需要在相同主機上安裝多個 JRE。
[IBM i]附註: 即使相同主機上的所有 WebSphere Application Server 設定檔都共用單一 JRE 6 , 您可以在相同主機上為不同的 Tivoli Access Manager 伺服器配置個別 WebSphere Application Server 設定檔。