Delegierung

"Delegierung" ist die Weitergabe der Sicherheitsidentität eines Prozesses vom Caller zum aufgerufenen Objekt. Gemäß Java™-EE-Spezifikation (Java Platform, Enterprise Edition) können Servlets und Enterprise-Beans beim Aufruf von Enterprise-Beans entweder die Identität des Clients oder die Identität des fernen Benutzers weitergeben oder eine andere angegebene Identität verwenden, die im zugehörigen Implementierungsdeskriptor festgelegt wurde.

Die Erweiterung unterstützt die Weitergabe von Enterprise-Beans an die Server-ID, wenn andere Entity-Beans aufgerufen werden. Es gibt drei Typen von Delegierung:
  • Clientidentität delegieren (RunAs)
  • Angegebene Identität delegieren (RunAs)
  • Systemidentität delegieren (RunAs)
Clientidentität delegieren (RunAs)
Angegebene Identität delegieren (RunAs)
Systemidentität delegieren (RunAs)
Anmerkung: Die Delegierung der RunAs-System-ID funktioniert nur, wenn Server-ID und Kennwort verwendet werden. Wenn die Funktion internalServerId verwendet wird, funktioniert die Delegierung nicht, weil runAs mit System-ID nicht unterstützt wird. Sie müssen RunAs-Rollen angeben. Wenn internalServerID verwendet wird, verwenden Sie RunAsSpecified mit einer Benutzer-ID und einem Kennwort, die der Administratorrolle zugeordnet sind. Weitere Informationen über internalServerId finden Sie im Artikel Verwaltungsrollen und Berechtigung für den Namensservice.

Die EJB-Spezifikation unterstützt nur die Bevollmächtigung (RunAs) auf EJB-Ebene (JavaBeans). Es gibt jedoch eine Erweiterung, die die RunAs-Spezifikation auf EJB-Methodenebene unterstützt. Mit der RunAs-Spezifikation auf EJB-Methodenebene können Sie jeder Methode in derselben Enterprise-Bean einer anderen RunAs-Rolle zuordnen.

Die RunAs-Spezifikation wird im Implementierungsdeskriptor definiert, d. h. in der Datei ejb-jar.xml im EJB-Modul bzw. der Datei web.xml im Webmodul. Die Erweiterung der RunAs-Spezifikation ist in der Datei ibm-ejb-jar-ext.xml enthalten.

Für jede Anwendung, die eine Zuordnung einer RunAs-Rolle zum Benutzer enthält ist eine IBM-spezifische Bindungsdatei verfügbar. Diese Datei wird in der Datei ibm-application-bnd.xml angegeben.

Diese Spezifikationen werden von der Laufzeit beim Anwendungsstart gelesen. Die folgende Abbildung zeigt den Delegierungsmechanismus, der im Sicherheitsmodell von WebSphere Application Server implementiert ist.
Die folgende Abbildung zeigt den Delegierungsmechanismus, der im Sicherheitsmodell von WebSphere Application Server implementiert ist.

Delegierungsprozess

Es sind zwei Tabellen für die Unterstützung des Delegierungsprozesses verfügbar:
  • Zuordnungstabelle von Ressourcen zu RunAs-Rollen
  • Zuordnungstabelle von RunAs-Rollen zu Benutzer-ID und Kennwort

Die Zuordnungstabelle von Ressourcen zu RunAs-Rollen dient dazu, die Rolle abzurufen, die von einem Servlet oder Enterprise-Beans verwendet wird, um den nächsten Enterprise-Beans-Aufruf weiterzugeben.

Die Zuordnungstabelle von RunAs-Rollen zu Benutzer-ID und Kennwort dient dazu, die Benutzer-ID und das Kennwort abzurufen, die zur RunAs-Rolle gehören.

Delegierung wird nach erfolgreicher Authentifizierung und Berechtigung ausgeführt. Während dieses Prozesses sucht das Delegierungsmodul in der Zuordnungstabelle von Ressourcen zu RunAs-Rollen nach der RunAs-Rolle (3). Das Delegierungsmodul sucht auch in der Zuordnungstabelle von RunAs-Rollen zu Benutzer-ID und Kennwort, um den Benutzer abzurufen, der zur RunAs-Rolle gehört (4). Die Benutzer-ID und Kennwort werden dafür verwendet, mithilfe des Authentifizierungsmoduls (das nicht abgebildet ist) einen neuen Berechtigungsnachweis zu erzeugen.

[AIX Solaris HP-UX Linux Windows][IBM i]Der generierte Berechtigungsnachweis wird im aktuellen ORB-Objekt (Object Request Broker) als Aufrufberechtigung gespeichert (5). Servlets und Enterprise-Beans verwenden beim Aufruf weiterer Enterprise-Beans den Berechtigungsnachweis für Aufruf aus dem aktuellen ORB (6) und rufen dann die nächsten Enterprise-Beans auf (7).


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_deleg
Dateiname:csec_deleg.html