为 Liberty 配置 TAI

可以配置 Liberty 以使用信任关联拦截器 (TAI) 来与第三方安全服务集成。可以在单点登录 (SSO) 之前或之后调用 TAI。

开始之前

请确保您已经安装了第三方安全性服务器作为逆向代理服务器。Liberty 服务器将其自己的授权策略应用到产生的凭证(由代理服务器传递)时,第三方安全性服务器可以充当前端认证服务器。您还必须有一个 JAR 文件包含定制 TAI 类,此类可以实现 com.ibm.wsspi.security.tai.TrustAssociationInterceptor 接口。
注: 不支持监视此 JAR 文件的更改。

关于此任务

使用 TAI 来验证第三方安全性服务器与 Liberty 服务器之间的 HTTP 请求。TAI 会检查来自第三方安全性服务器的 HTTP 请求,以了解它们是否包含任何安全性属性。如果成功完成由 TAI 验证请求的过程,那么 Liberty 服务器会通过检查客户机用户是否具有访问资源所需的许可权来授权请求。

有关定制 TAI 以及使用 LTPA 定制 SSO 配置的更多信息,请参阅为 Liberty 开发定制 TAI针对 Liberty 使用 LTPA cookie 来定制 SSO 配置

适用于已分发平台您还可以使用开发者工具来配置 TAI 服务。适用于已分发平台有关工具支持的更多信息,请参阅使用开发者工具在 Liberty 上配置 TAI

过程

  1. server.xml 文件中启用 appSecurity-2.0 Liberty 功能部件。
    <featureManager>
        <feature>appSecurity-2.0</feature>
    </featureManager>
  2. 将应用程序部署到 Liberty 服务器,并启用所有 Liberty 功能部件,例如 jsp-2.2jdbc-4.0
  3. 将 TAI 实现库 simpleTAI.jar 放入服务器目录。
  4. 使用 TAI 配置选项及 TAI 实现库的位置来更新 server.xml 文件。
    在以下 server.xml 文件中,启用了定制 TAI,但是对于不受保护的 URI 不执行任何认证,并且在 TAI 认证失败的情况下不允许回退到应用程序认证方法。如示例中所示,下列配置元素可用于 TAI 支持:
    • trustAssociation
    • interceptors
    • properties
    <trustAssociation id="myTrustAssociation" invokeForUnprotectedURI="false" 
                      failOverToAppAuthType="false">
        <interceptors id="simpleTAI" enabled="true"  
                      className="com.sample.SimpleTAI" 
                      invokeBeforeSSO="true" invokeAfterSSO="false" libraryRef="simpleTAI"> 
            <properties prop1="value1" prop2="value2"/>
    
        </interceptors> 
    </trustAssociation> 
    
    <library id="simpleTAI"> 
        <fileset dir="${server.config.dir}" includes="simpleTAI.jar"/> 
    </library> 
    ...    

    注: 属性名的开头不能是句点 (.)、config.service。此外,也不接受属性名 idID
    注: 缺省情况下,invokeBeforeSSO 属性设置为 true。使用此设置调用 TAI,即使提供了有效 SSO 令牌也是如此。但是,如果仅当 SSO 令牌无效或未提供时,预期行为为调用 TAI,则可以通过将其设置为 false 并启用 invokeAfterSSO 属性来禁用此属性。仅当未提供 SSO 令牌或 SSO 令牌无效时,才可使用此设置调用 TAI。在某些情况下,此设置可能会提高系统性能。

    有关 <trustAssociation><interceptors><properties> 元素的更多信息,请参阅 JMX REST Connector 1.0


用于指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: Monday, 5 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_tai
文件名:twlp_sec_tai.html