Rollenbasierte Sicherheit mit integriertem Tivoli Access Manager
Das Java™-EE-Modell (Java Platform, Enterprise Edition) der rollenbasierten Berechtigung arbeitet mit den Konzepten der Rollen und Ressourcen. Es folgt ein Beispiel.
Rollen | getBalance | deposit | closeAccount |
---|---|---|---|
Schalterbeamter | erteilt | erteilt | |
Kassierer | erteilt | ||
Supervisor | erteilt |
Für die in der obigen Tabelle dargestellte Anwendung sind drei Rollen definiert: Schalterbeamter, Kassierer und Supervisor. Diesen Rollen muss die Berechtigung zur Ausführung der Anwendungsmethoden getBalance, deposit und closeAccount zugeordnet werden. Aus diesem Beispiel können Sie ersehen, dass die der Rolle Supervisor zugeordneten Benutzer die Methode closeAccount ausführen dürfen, die Benutzer der anderen Rollen jedoch nicht.
Der Begriff Principal in der Sicherheit von WebSphere Application Server bezeichnet eine Person oder einen Prozess, der Aktivitäten ausführt. Gruppen sind logisch zusammengefasste Principals und werden in WebSphere Application Server verwendet, um die Anwendung von Sicherheitskonzepten zu erleichtern. Rollen können Principals und/oder Gruppen zugeordnet werden.
Principal/Gruppe | Schalterbeamter | Kassierer | Supervisor |
---|---|---|---|
Schalterbeamtengruppe | Aufrufen | ||
Kassierergruppe | Aufrufen | ||
Supervisorgruppe | |||
Frank: Ein Principal, der keiner der vorherigen Gruppen als Member angehört. | Aufrufen | Aufrufen |
Bei der Anwendungsimplementierung füllt der JACC-Provider (Java Authorization Contract for Container) von Tivoli Access Manager den von Tivoli Access Manager geschützten Objektbereich mit Sicherheitsrichtlinieninformationen, die im Implementierungsdeskriptor der Anwendung und/oder in Annotationen enthalten sind. Anhand dieser Sicherheitsinformationen wird bei jeder Anforderung der Ressource von WebSphere Application Server über den Zugriff entschieden.
Standardmäßig wird die Zugriffsprüfung von Tivoli Access Manager durchgeführt, für die der Name der Rolle, der Zellenname, der Anwendungsname und der Modulname herangezogen werden.
Die Zugriffssteuerungslisten (ACLs, Access Control Lists) von Tivoli Access Manager legen fest, welche Anwendungsrollen einem Principal zugeordnet werden. ACLs werden bei der Anwendungsimplementierung dem von Tivoli Access Manager geschützten Objektbereich zugeordnet.
Die Zuordnung zwischen Principals und Rollen wird in der Administrationskonsole von WebSphere Application Server definiert und von Tivoli Access Manager nicht geändert. Direkte Aktualisierungen für ACLs werden nur von Benutzern der Administrationssicherheit durchgeführt.
- Während der Anwendungsimplementierung werden die Richtlinieninformationen an den JACC-Provider von Tivoli Access Manager gesendet. Diese Richtlinieninformationen enthalten Zuordnungen zwischen Berechtigungen und Rollen, Rollen und Principals sowie Rollen und Gruppen.
- Der JACC-Provider von Tivoli Access Manager setzt die Informationen in das erforderliche Format um und übergibt sie an den Richtlinienserver von Tivoli Access Manager.
- Der Richtlinienserver fügt zu dem von Tivoli Access Manager geschützten Objektbereich Einträge für Rollen hinzu, die für die Anwendung definiert sind, sowie für die Zuordnungen zwischen Berechtigungen und Rollen. Eine Berechtigung wird als ein von Tivoli Access Manager geschütztes Objekt dargestellt und die diesem Objekt zugeordnete Rolle als erweitertes Attribut.