WebSphere Application Server 的 Tivoli Access Manager 安全性

WebSphere® Application Server 提供嵌入式 IBM® Tivoli ® Access Manager 客户机技术,以保护 WebSphere Application Server管理的资源。

仅当 Tivoli Access Manager 客户机代码与 Tivoli Access Manager 服务器配合使用时,此处描述的使用 Tivoli Access Manager 的优点才适用:
  • 基于坚固容器的授权
  • 集中式策略管理
  • 公共标识、用户概要文件和授权机制的管理
  • 使用 Tivoli Access Manager Web Portal Manager 管理控制台对符合 Java™ Platform, Enterprise Edition (Java EE) 和不符合标准的 Java EE 资源进行单点安全管理
  • 不需要对应用程序进行编码或部署更改
  • 使用 WebSphere Application Server 管理控制台轻松管理用户,组和角色

WebSphere Application Server 支持 Java Authorization Contract for Containers (JACC) 规范。 JACC 详细说明了 Java EE 容器和授权提供程序的合同需求。 通过此合同,授权提供程序可以对 Java EE 应用程序服务器 (例如 WebSphere Application Server) 中的资源执行访问决策。 嵌入在 WebSphere Application Server 中的 Tivoli Access Manager 安全性实用程序符合 JACC ,用于:

  • 部署应用程序时添加安全策略信息
  • 授权访问 WebSphere Application Server保护的资源。

部署应用程序时,嵌入式 Tivoli Access Manager 客户机将获取存储在应用程序部署描述符中或使用注释的任何策略和/或用户和角色信息,并将其存储在 Tivoli Access Manager Policy Server 中。

当用户请求访问由 WebSphere Application Server管理的资源时,也会调用 Tivoli Access Manager JACC 提供程序。

图 1。 嵌入式 Tivoli Access Manager 客户机体系结构
该图说明以下事件序列
上图说明以下顺序的事件:
  1. 访问受保护资源的用户将使用配置为在启用嵌入式 Tivoli Access Manager 客户机时使用的 Tivoli Access Manager 登录模块进行认证。
  2. WebSphere Application Server 容器使用 Java EE 应用程序部署描述符和注释中的信息来确定所需的角色成员资格。
  3. WebSphere Application Server 使用嵌入式 Tivoli Access Manager 客户机从 Tivoli Access Manager 授权服务器请求授权决策。 如果存在其他上下文信息,那么也会将其传递到授权服务器。 此上下文信息由单元名称, Java EE 应用程序名称和 Java EE 模块名称组成。 如果 Tivoli Access Manager 策略数据库具有针对任何上下文信息指定的策略,那么授权服务器将使用此信息来制定授权决策。
  4. 授权服务器将查询在受 Tivoli Access Manager 保护的对象空间中为指定用户定义的许可权。 受保护对象空间是策略数据库的一部分。
  5. Tivoli Access Manager 授权服务器将访问决策返回到嵌入式 Tivoli Access Manager 客户机。
  6. WebSphere Application Server 根据从 Tivoli Access Manager 授权服务器返回的决策,授予或拒绝对受保护方法或资源的访问权。
在其核心, Tivoli Access Manager 提供认证和授权框架。 您可以通过查看产品文档来了解有关 Tivoli Access Manager 的更多信息,包括制定部署决策所需的信息。 IBM Tivoli Access Manager for e-business 文档中提供了以下指南:
  • IBM Tivoli Access Manager for e-business 安装指南

    本指南描述如何规划,安装和配置 Tivoli Access Manager 安全域。 通过使用一系列简易安装脚本,您可以快速部署完整的功能性安全域。 将安全域的部署恢复原型时,这些脚本非常有用。

    要在 IBM Tivoli Access Manager for e-business 文档中访问本指南,请单击 Access Manager for e-business> 安装和升级信息> 安装指南

  • IBM Tivoli Access Manager for e-business 管理指南

    本文档概述了用于管理受保护资源的 Tivoli Access Manager 安全模型。 本指南描述如何配置用于制定访问控制决策的 Tivoli Access Manager 服务器。 另外,详细指示信息描述如何执行重要任务,例如声明安全策略、定义受保护对象空间以及管理用户和组概要文件。

    要在 IBM Tivoli Access Manager for e-business 文档中访问本指南,请单击 Access Manager for e-business> 管理信息> 管理指南

图 2。 Tivoli Access Manager 提供对多个服务器的集中管理
显示受 Tivoli Access Manager 保护的 WebSphere Application Server 的示例体系结构。

上图是显示由 Tivoli Access Manager 保护的 WebSphere Application Server 的示例体系结构。

参与的 WebSphere Application Server 使用 Tivoli Access Manager 策略数据库的本地副本来制定入局请求的授权决策。 本地策略数据库是主策略数据库的副本。 主策略数据库作为 Tivoli Access Manager 安装的一部分进行安装。 在每个参与的 WebSphere Application Server 节点上具有策略数据库副本将在制定授权决策时优化性能并提供故障转移功能。

虽然授权服务器也可以与 WebSphere Application Server安装在同一系统上,但图中未说明此配置。

示例体系结构中 Tivoli Access Manager 和 WebSphere Application Server 的所有实例在机器 E 上共享轻量级目录访问协议 (LDAP) 用户注册表。

WebSphere Application Server 支持的 LDAP 注册表也受 Tivoli Access Manager 支持。

可以在为不同 Tivoli Access Manager 服务器配置的同一主机上具有单独的 WebSphere Application Server 概要文件。 此类体系结构要求为单独的 Java SE 运行时环境 (JRE 6) 配置概要文件,因此您需要在同一主机上安装多个 JRE。
[IBM i]注: 即使同一主机上的所有 WebSphere Application Server 概要文件共享单个 JRE 6 , 您可以在同一主机上为不同的 Tivoli Access Manager 服务器配置单独的 WebSphere Application Server 概要文件。