Integration von Tivoli Access Manager als JACC-Provider

Tivoli Access Manager verwendet das JACC-Modell (Java™ Authorization Contract for Container) in WebSphere Application Server für die Durchführung von Zugriffsprüfungen.

Tivoli Access Manager setzt sich aus den folgenden Komponenten zusammen:
  • Laufzeitumgebung
  • Clientkonfiguration
  • Unterstützung für Berechtigungstabellen
  • Zugriffsprüfung
  • Authentifizierung mit dem Modul PDLoginModule

Für die Laufzeitänderungen implementiert Tivoli Access Manager die Schnittstellen "PolicyConfigurationFactory" und "PolicyConfiguration", die von JACC vorausgesetzt werden. Mit diesen Schnittstellen werden während der Anwendungsinstallation die Informationen zur Sicherheitsrichtlinie aus dem Implementierungsdeskriptor und die Informationen zu den Berechtigungstabellen in den Bindungsdateien an den Tivoli-Provider weitergegeben. Der Tivoli-Provider speichert die Informationen zur Richtlinie und den Berechtigungstabellen im Tivoli Access Manager-Richtlinienserver, indem er die entsprechenden APIs von Tivoli Access Manager aufruft.

Tivoli Access Manager implementiert außerdem die Schnittstellen "RoleConfigurationFactory" und "RoleConfiguration". Diese Schnittstellen werden verwendet, um sicherzustellen, dass die Informationen zu den Berechtigungstabellen zusammen mit den Richtlinieninformationen an den Provider weitergegeben werden. Weitere Informationen zu diesen Schnittstellen finden Sie im Artikel Schnittstellen, die JACC unterstützen.

Für die Konfiguration des TAM-Clients (Tivoli Access Manager) können Sie die Administrationskonsole oder das Scripting-Tool wsadmin verwenden. Zum Aufrufen der Administrationskonsolseiten für die Konfiguration des Tivoli Access Manager-Clients klicken Sie auf Sicherheit > Globale Sicherheit > Externe Berechtigungsprovider. Klicken Sie unter "Zugehörige Elemente" auf Externer JACC-Provider. Im Tivoli-Client muss die Verwendung des Tivoli Access Manager-JACC-Providers konfiguriert sein.

Nähere Informationen zum Konfigurieren des Tivoli Access Manager-Clients finden Sie im Artikel JACC-Provider von Tivoli Access Manager konfigurieren.

Tivoli Access Manager verwendet die Schnittstelle "RoleConfiguration", um sicherzustellen, dass die Informationen zu den Berechtigungstabellen an den Tivoli Access Manager-Provider übergeben werden, wenn die Anwendung installiert oder implementiert wird. Wenn eine Anwendung implementiert oder geändert wird, werden die Benutzer und Gruppen für die Zuordnung von Benutzern bzw. Gruppen zu Rollen vom Tivoli Access Manager-Server abgerufen, der denselben LDAP-Server wie WebSphere Application Server verwendet. Die gemeinsame Nutzung wird durch Integration der Informationen in die Anzeigen für die Zuordnung von Benutzern bzw. Gruppen zu Rollen in der Administrationskonsole erreicht. Anstatt sich auf die in WebSphere Application Server konfigurierte LDAP-Registry zu stützen, werden die Verwaltungs-APIs aufgerufen, um Benutzer und Gruppen abzurufen.

Die Zuordnung von Benutzern und Gruppen zu Rollen wird auf Anwendungsebene und nicht auf Knotenebene vorgenommen.

Wenn in WebSphere Application Server die Verwendung des JACC-Providers für Tivoli Access Manager konfiguriert ist, werden die Informationen für die Zugriffsentscheidung an Tivoli Access Manager übergeben. Die Richtlinienimplementierung von Tivoli Access Manager fragt die lokale Kopie der ACL-Datenbank (Access Control List, Zugriffssteuerungsliste) ab, um die Zugriffsentscheidung zu treffen.

Das angepasste Anmeldemodul in WebSphere Application Server kann die Authentifizierung vornehmen. Dieses Anmeldemodul wird vor den von WebSphere Application Server bereitgestellten Anmeldemodulen integriert. Die angepassten Anmeldemodule können Informationen bereitstellen, die im Subject gespeichert sind. Falls die erforderlichen Informationen im Subject gespeichert sind, werden keine weiteren Registryaufrufe abgesetzt, um diese Informationen zu erhalten.

Im Rahmen der JACC-Integration wird auch das von Tivoli Access Manager bereitgestellte Modul PDLoginModule als Plug-in in WebSphere Application Server für die Authentifizierung mit Lightweight Third Party Authentication (LTPA), Kerberos (KRB5) und Simple WebSphere Authentication Mechanism (SWAM) verwendet. Das Modul PDLoginModule führt die Authentifizierung anhand von Benutzer-ID oder Kennwort durch. Das Modul wird auch verwendet, um die erforderlichen Attribute im Subject zu belegen, damit von den Anmeldemodulen in WebSphere Application Server keine Registryaufrufe abgesetzt werden. Die in das Subject kopierten Informationen können vom Richtlinienobjekt von Tivoli Access Manager für die Zugriffsprüfung verwendet werden.
Anmerkung: Beachten Sie jedoch, dass SWAM ab WebSphere Application Server Version 9.0 als veraltet gilt und in einem der künftigen Releases entfernt wird.
Anmerkung: Bei Verwendung des Kerberos-Authentifizierungsverfahrens und Tivoli Access Manager, erstellt das TAM loginModule den PDPrincipal, ohne zuerst den Authentifizierungsprozess von Tivoli Access Manager zu durchlaufen. Außerdem wird die TAM-Richtlinie ab WebSphere Application Server Version 7.0 nicht umgesetzt, wenn der Kerberos-Authentifizierungsverfahrens und Tivoli Access Manager verwendet werden.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_jaccintegrate
Dateiname:csec_jaccintegrate.html