Sicherheit
Die Liberty-Sicherheit schützt Webressourcen gemäß der Spezifikation "Servlet 3.0" und EJB-Ressourcen gemäß der Spezifikation "ejbLite 3.1". Die Liberty-Sicherheit schützt außerdem JMX-Verbindungen, wenn Sie den REST-Connector verwenden.
Das folgende Diagramm zeigt einen typischen Sicherheitsprozess beim Zugriff auf eine geschützte Webressource. Damit dieser Prozess funktioniert, müssen Sie die entsprechenden Sicherheitseinrichtungen und die erforderlichen Konfigurationen für die Authentifizierung und Berechtigung konfigurieren.

- Ein HTTP-Client fordert eine Webressource im Web-Container an.
- Der Web-Container delegiert die Sicherheitsüberprüfung an den WebSecurity-Collaborator.
- Der WebSecurity-Collaborator fordert den Benutzer zur Eingabe von Berechtigungsnachweisen auf (sofern nicht vorhanden) und verwendet den Authentifizierungsservice, um den Benutzer zu authentifizieren.
- Der Authentifizierungsservice authentifiziert und erstellt das Subjekt und gibt es zurück, falls es erfolgreich authentifiziert wurde. Andernfalls meldet der Authentifizierungsservice eine Ausnahme für das Fehlschlagen der Authentifizierung.
- Der WebSecurity-Collaborator verwendet den Berechtigungsservice, um eine Benutzerberechtigungsprüfung durchzuführen.
- Der Berechtigungsservice gibt das Berechtigungsergebnis an den WebSecurity-Collaborator zurück.
- Der WebSecurity-Collaborator gibt das Ergebnis der Sicherheitsprüfung zurück (d. h., ob der Benutzer berechtigt ist).
- Der Web-Container stellt die angeforderte Ressource bereit oder weist die Anforderung zurück.
- Schnellstart
- Authentifizierung
- Berechtigung
- Secure Socket Layer (SSL)
- Single Sign-On (SSO)
- Eigenschaften für die Websicherheit
- Öffentliche Sicherheits-APIs
- Verwaltungssicherheit
- z/OS®-Sicherheit
- Authentifizierungsaliasse
- Konfigurationsbeispiele und Beispiele
- Kompatibilität und Unterschiede bei der Sicherheit
- Lightweight Directory Access Protocol (LDAP) konfigurieren
- Fehlerbehebung
Schnellstart
Verwenden Sie das Element quickStartSecurity, um eine Einzelbenutzersicherheitsumgebung in Liberty zu konfigurieren. Im Abschnitt Überblick über die Sicherheit wird beschrieben, wie der Sicherheitsworkflow funktioniert, wenn das Element quickStartSecurity verwendet wird. Eine Beispieltask finden Sie unter Einführung in die Sicherheit in Liberty.
Authentifizierung
Die Authentifizierung bestätigt die Identität des Benutzers. Die gängigste Form der Authentifizierung ist die Authentifizierung mit einem Benutzernamen und einem Kennwort, z. B. durch Basisauthentifizierung oder durch formularbasierte Anmeldung für Webanwendungen. Nach der Authentifizierung eines Benutzers wird die Quelle einer Anforderung zur Laufzeit als Subject-Objekt dargestellt. Dieser Prozess umfasst Zugriffssteuerungsprüfungen, die durchgeführt werden, wenn ein Benutzer auf eine Ressource zugreift, und die auf den für diese Ressource konfigurierten Berechtigungsregeln basieren. Weitere Konzepte sind unter Authentifizierung beschrieben. Ausführliche Taskbeschreibungen finden Sie unter Benutzer in Liberty authentifizieren.
Berechtigung
Während des Berechtigungsprozesses wird bestimmt, ob einem Benutzer Zugriff auf die Ressourcen im System gewährt wird. Das Java™ EE-Modell verwendet Subjekte, Ressourcen und Rollen, um zu bestimmen, was zulässig ist und was nicht. Dieser Prozess umfasst die Überprüfung der Benutzerberechtigungen (z. B. Benutzer-ID und Kennwort, Zertifikate und Tokens) und die Erstellung eines Subjekts basierend auf dem authentifizierten Benutzer. Weitere Konzepte sind unter Berechtigung beschrieben. Ausführliche Taskbeschreibungen finden Sie unter Zugriff auf Ressourcen in Liberty gewähren.
Secure Socket Layer (SSL)
SSL bietet Sicherheit auf Transportebene. Die Tasks sind ausführlich unter SSL-Kommunikation in Liberty aktivieren beschrieben.
Single Sign-On (SSO)
SSO ermöglicht den Zugriff auf Anwendungen ohne mehrfache Aufforderung zur Anmeldung. Weitere Einzelheiten finden Sie unter Konzept von SSO. Die Task ist ausführlich unter SSO-Konfiguration mit LTPA-Cookies in Liberty anpassen beschrieben.
Eigenschaften für die Websicherheit
Es gibt zahlreiche Konfigurationseigenschaften, die Sie im Rahmen der Websicherheit für Ihre Anwendungen konfigurieren können, z. B. SSO und Clientzertifikatsauthentifizierung. Die verfügbaren Attribute sind in den Abschnitten SSO-Konfiguration mit LTPA-Cookies in Liberty anpassen und Web-Service-Sicherheit beschrieben. Beispiele finden Sie unter Websicherheitsrelevante Eigenschaften in Liberty konfigurieren.
Öffentliche Sicherheits-APIs
Liberty enthält öffentliche APIs, die Sie zum Implementieren der Sicherheitsfunktionen verwenden können. Die öffentlichen Sicherheits-APIs in Liberty sind eine Untergruppe der öffentlichen Sicherheits-APIs von WebSphere Application Server Traditional. Die Hauptklassen sind WSSecurityHelper, WSSubject und RegistryHelper. Diese Klassen enthalten einen Teil der Methoden, die in den Versionen von WebSphere Application Server Traditional verfügbar sind. Außerdem gibt es eine neue Klasse mit dem Namen WebSecurityHelper. Weitere Informationen finden Sie unter Öffentliche Sicherheits-APIs in Liberty.
Die Java-API-Dokumentation für die einzelnen Liberty-APIs finden Sie in einer eigenständigen .zip-Datei in einer der Javadoc-Unterverzeichnisse des Verzeichnisses ${wlp.install.dir}/dev.
Verschiedene Beispiele finden Sie unter Erweiterungen der Liberty-Sicherheitsinfrastruktur entwickeln.
Verwaltungssicherheit
Verwaltungssicherheit bedeutet, dass Sie Liberty über einen fernen JMX-Client verwalten können. Informationen zum Sichern von Fernverbindungen mit dem REST-Connector finden Sie unter Verbindung zu Liberty mit JMX herstellen. Sie können auch eigene JMX-Clientanwendungen entwickeln. Diesbezügliche Erläuterungen finden Sie unter JMX-Java-Client für Liberty entwickeln.
z/OS®-Sicherheit
System Authorization Facility (SAF) auf der Plattform z/OS wird in Liberty für die Authentifizierung und Berechtigung unterstützt. Die Tasks sind ausführlich in den Abschnitten Berechtigte z/OS-Services in Liberty für z/OS aktivieren und SAF-Berechtigung konfigurieren beschrieben.
Authentifizierungsaliasse
Der Authentifizierungsdatenalias stellt die Sicherheitsunterstützung für die Datenbankkonnektivität bereit. Weitere Informationen hierzu finden Sie unter Authentifizierungsaliasse für Liberty konfigurieren.
Konfigurationsbeispiele und Beispiele
Auf der WASdev.net-Website finden Sie mehrere Sicherheitskonfigurationsbeispiele als Referenz bei der Konfiguration der Sicherheit Ihrer Anwendungen in Liberty.
Kompatibilität und Unterschiede bei der Sicherheit
Zwischen den Sicherheitsfunktionen in WebSphere Application Server Traditional und Liberty gibt es einige wesentliche Unterschiede. Weitere Informationen hierzu finden Sie unter Sicherheitskonfigurationsunterschiede zwischen WebSphere Application Server Traditional und Liberty.
Lightweight Directory Access Protocol (LDAP) konfigurieren
Nachdem Sie den LDAP-Benutzerregistry-Eintrag ausgewählt haben, den Sie der Serverkonfiguration hinzufügen möchten, wird in der Anzeige Details der LDAP-Benutzerregistry eine Liste für die unterstützten LDAP-Servertypen angezeigt. Wenn Sie einen unterstützten LDAP-Servertyp auswählen, werden die LDAP-Filter, die dem ausgewählten LDAP-Servertyp zugeordnet sind, nicht automatisch eingetragen.
- Active Directory-LDAP-Filter
- Angepasste LDAP-Filter
- Domino-LDAP-Filter
- eDirectory-LDAP-Filter
- IBM® Directory Server-LDAP-Filter
- iPlanet-LDAP-Filter
- Netscape-LDAP-Filter
- SecureWay-LDAP-Filter
- Benutzerfilter
- Gruppenfilter
- Benutzer-ID-Zuordnung
- Gruppen-ID-Zuordnung
- Gruppenmember-ID-Zuordnung
Alternativ können Sie der Serverkonfiguration einen LDAP-Filter hinzufügen. Sie müssen eine ID angeben, um die Referenz dieser speziellen Filterkonfiguration zuzuordnen, damit diese der LDAP-Benutzerregistry-Konfiguration zugeordnet werden kann. Bei der Verwendung dieser Konfigurationsmethode für LDAP-Filter wird die Referenz-ID in der Anzeige Details der LDAP-Benutzerregistry (die über die Schaltfläche Durchsuchen für den entsprechenden LDAP-Filtertyp aufgerufen wird) ausgewählt.
Wenn Sie Eclipse-basierte Entwicklertools für die Konfiguration von LDAP verwenden, überprüfen Sie die gespeicherte Konfiguration anhand der Beispiele in der Datei wlp/templates/config/ldapRegistry.xml.
Weitere Informationen finden Sie unter LDAP-Benutzerregistrys in Liberty konfigurieren.
Fehlerbehebung
Verwenden Sie die Fehlerbehebungsinformationen, um Sicherheitsprobleme bei der Verwendung von Liberty zu beheben. Weitere Informationen finden Sie in den Abschnitten Fehlerbehebung für die Sicherheit und Fehlerbehebung für LDAP.