Seguridad

La seguridad de Liberty proporciona protección para los recursos web según la especificación del Servlet 3.0 y de los recursos EJB según la especificación ejbLite 3.1. La seguridad de Liberty también proporciona protección para las conexiones JMX cuando se utiliza el conector REST.

El siguiente diagrama muestra un proceso típico de seguridad cuando se accede a un recurso web protegido. Para que el proceso de seguridad funcione, debe configurar las características de seguridad adecuadas y las configuraciones necesarias para la autenticación y la autorización.

Figura 1. Flujo de seguridad típico para recursos web
El WebSecurity Collaborator utiliza servicios de autenticación y autorización para autenticar y autorizar el acceso a los recursos web en el contenedor web.
  1. Un cliente HTTP solicita un recurso web del contenedor.
  2. WebContainer delega la comprobación de seguridad a WebSecurity Collaborator.
  3. WebSecurity Colaborador solicita al usuario que especifique las credenciales si no están presentes, y utiliza el servicio de autenticación para autenticar el usuario.
  4. El servicio de autenticación autentica, crea y devuelve el sujeto si se ha autenticado satisfactoriamente. De lo contrario, el servicio de autenticación notifica una excepción relacionada con una anomalía de autenticación.
  5. WebSecurity Collaborator utiliza el servicio de autorización para realizar una comprobación de autorización del usuario.
  6. El servicio de autorización devuelve el resultado de la autorización a WebSecurity Collaborator.
  7. WebSecurity Collaborator devuelve el resultado de la comprobación de seguridad sobre si el usuario está autorizado.
  8. WebContainer sirve o rechaza el recurso solicitado.

Inicio rápido

Con el elemento quickStartSecurity, puede configurar un entorno de seguridad de usuario individual en Liberty. Consulte la sección Visión general rápida de la seguridad para obtener detalles sobre cómo es el flujo de trabajo de la seguridad cuando se utiliza el elemento quickStartSecurity, y la sección Cómo comenzar con la seguridad en Liberty para ver una tarea de ejemplo.

Autenticación

La autenticación confirma la identidad de un usuario. La forma de autenticación más común es el nombre de usuario y contraseña como, por ejemplo, el inicio de sesión mediante la autenticación básica o mediante formulario para aplicaciones web. Una vez autenticado un usuario, el origen de una solicitud se representa como un objeto Subject en el tiempo de ejecución. Este proceso implica realizar comprobaciones de control de acceso cuando un usuario accede a un recurso, basándose en las reglas de autorización configuradas para el recurso. Consulte la sección Autenticación para obtener más conceptos y la sección Autenticación de usuarios en Liberty para ver tareas detalladas.

Autorización

La autorización determina si se otorga o no a un usuario el acceso a los recursos dentro del sistema. El modelo Java™ EE utiliza sujetos, recursos y roles para determinar lo que se puede permitir o no. Este proceso implica comprobar las credenciales de usuario como, por ejemplo, el ID de usuario y contraseña, los certificados y las señales, y crear un sujeto basado en el usuario autenticado. Consulte la sección Autorización para obtener más conceptos y la sección Autorización del acceso a recursos en Liberty para ver tareas detalladas.

Secure Socket Layer (SSL)

SSL proporciona seguridad a nivel de transporte. Consulte la sección Habilitación de la comunicación SSL en Liberty para ver tareas detalladas.

SSO (Single Sign-On)

SSO permite el acceso a las aplicaciones sin que se le solicite al usuario que inicie sesión varias veces. Consulte la sección Concepto de SSO para obtener más detalles y la sección Personalización de la configuración de SSO utilizando cookies LTPA en Liberty para ver la tarea detallada.

Propiedades relacionadas con la seguridad web

Existen muchas propiedades de configuración que puede configurar como parte de la seguridad web, tales como SSO y la autenticación de certificados de cliente para sus aplicaciones. Consulte Personalización de la configuración de SSO utilizando cookies LTPA en Liberty y Web Service Security para ver los atributos disponibles y consulte Configuración de propiedades relacionadas con la seguridad web en Liberty para ver algunos ejemplos.

API públicas de seguridad

Liberty contiene las API públicas que puede utilizar para implementar las funciones de seguridad. Las API de seguridad públicas de Liberty son un subconjunto de las API públicas de seguridad del WebSphere Application Server tradicional. Las clases principales son WSSecurityHelper, WSSubject y RegistryHelper. Estas clases contienen un subconjunto de los métodos que están disponibles en las versiones de WebSphere Application Server tradicional. También existe una clase WebSecurityHelper nueva.Consulte API públicas de seguridad en Liberty.

La documentación de la API Java para cada API de Liberty está disponible en un archivo .zip separado en uno de los subdirectorios javadoc del directorio ${wlp.install.dir}/dev.

Consulte Desarrollo de extensiones en la infraestructura de seguridad de Liberty para obtener algunos ejemplos.

Seguridad de gestión

Gestión de seguridad significa que puede gestionar Liberty utilizando un cliente JMX remoto. Para proteger las conexiones remotas utilizando el conector REST, consulte Conexión a Liberty mediante JMX. También puede desarrollar su propia aplicación de cliente JMX como se describe en Desarrollo de un cliente JMX Java para Liberty.

Alias de autenticación

Los alias de datos de autenticación proporcionan el soporte de seguridad para la conectividad de base de datos. Consulte Configuración de alias de autenticación para Liberty.

Ejemplo y muestra de configuración

Hay varios ejemplos de configuración se seguridad en el sitio web de WASdev.net que sirven de referencia cuando se configura la seguridad para sus aplicaciones en Liberty.

Compatibilidad de la seguridad y diferencias

Puede obtener información sobre las principales diferencias en la prestación de seguridad entre WebSphere Application Server tradicional y Liberty. Consulte Diferencias de configuración de seguridad entre WebSphere Application Server tradicional y Liberty.

Configuración del protocolo LDAP (Lightweight Directory Access Protocol)

Después de seleccionar el elemento Registro de usuarios LDAP que se va a añadir a la configuración del servidor, el panel de detalles del registro de usuarios LDAP mostrará una lista de los tipos de servidor LDAP admitidos. Si selecciona un tipo de servidor LDAP soportado, los filtros LDAP asociados con el tipo de servidor LDAP seleccionado no se llenarán automáticamente.

Cada uno de los tipos de servidor LDAP soportados tiene un conjunto predeterminado de filtros definido. Después de seleccionar el elemento Registro de usuarios LDAP y de que se haya añadido el tipo de servidor, se pueden configurar los filtros LDAP asociados seleccionando la configuración Registro de usuarios LDAP y añadiendo el filtro LDAP necesario:
  • Filtros LDAP de Active Directory
  • Filtros LDAP personalizados
  • Filtros LDAP de Domino
  • Filtros LDAP de eDirectory
  • Filtros LDAP de IBM® Directory Server
  • Filtros LDAP de iPlanet
  • Filtros LDAP de Netscape
  • Filtros LDAP de SecureWay
Si se selecciona cualquiera de los filtros LDAP se mostrarán los valores predeterminados para los tipos de filtros:
  • filtro de usuario
  • filtro de grupo
  • correlación de ID de usuario
  • correlación de ID de grupo
  • correlación de ID de miembro de grupo
Si se utilizan los filtros predeterminados, no se actualiza el archivo server.xml con ninguna información de filtro. Si se modifica cualquiera de los filtros, solo se actualizarán los tipos de filtros modificados en el archivo server.xml.
Nota: Si no se especifica ningún ID de referencia mediante el botón Examinar, se utilizarán los filtros predeterminados asociados con el tipo de servidor LDAP seleccionado.

De forma alternativa, puede añadir un filtro LDAP a la configuración del servidor. Debe especificarse un ID para asociar la referencia a esta configuración de filtro determinada, a fin de asociarlo con la configuración del registro de usuarios LDAP. Si se utiliza este método de configuración de filtros LDAP, el ID de referencia se seleccionará en el panel de detalles del Registro de usuarios LDAP (ubicado mediante el botón Examinar bajo el tipo de filtro LDAP respectivo).

Si utiliza herramientas de desarrollador basadas en Eclipse para configurar LDAP, compruebe que la configuración se ha guardado en los ejemplos en wlp/templates/config/ldapRegistry.xml.

Para obtener más información, consulte Configuración de registros de usuarios LDAP en Liberty.

Resolución de problemas

Utilice la información de resolución de problemas para solucionar los problemas relacionados con la seguridad cuando se utiliza Liberty. Consulte Resolución de problemas de seguridad y Resolución de problemas de LDAP.

For distributed platforms

Herramientas

Configure la seguridad utilizando las herramientas del desarrollador basadas en Eclipse para Liberty. Consulte Edición de la configuración de Liberty utilizando las herramientas del desarrollador. Puede encontrar información específica acerca de las herramientas y la configuración de la seguridad en Configuración de TAI en Liberty utilizando las herramientas del desarrollador y en Configuración de JAAS en Liberty utilizando herramientas de desarrollador.


Icono que indica el tipo de tema Tema de concepto

Nombre de archivo: cwlp_sec.html