Tivoli Access Manager-Sicherheit für WebSphere Application Server
WebSphere Application Server stellt für den Schutz Ihrer verwalteten Ressourcen von WebSphere Application Server integriert die Clienttechnologie von IBM® Tivoli Access Manager bereit.
- Zuverlässige containerbasierte Berechtigung
- Zentralisierte Richtlinienverwaltung
- Verwaltung einheitlicher Identitäten, Benutzerprofile und Berechtigungsmechanismen
- Zentrales Sicherheitsmanagement für Java EE-kompatible und nicht Java EE-kompatible Ressourcen mit der Administrationskonsole des Web Portal Manager von Tivoli Access Manager
- Keine Notwendigkeit, den Code oder die Implementierung von Anwendungen zu ändern
- Einfache Verwaltung von Benutzern, Gruppen und Rollen mit der Administrationskonsole von WebSphere Application Server
WebSphere Application Server unterstützt die JACC-Spezifikation (Java™ Authorization Contract for Containers). JACC legt die Vertragsbedingungen für Java-EE-Container und Berechtigungsprovider fest. Auf der Grundlage dieser Bedingungen können Berechtigungsprovider Entscheidungen für den Zugriff auf Ressourcen in Java-EE-Anwendungsservern wie WebSphere Application Server treffen. Das in WebSphere Application Server integrierte Sicherheitsdienstprogramm von Tivoli Access Manager ist JACC-konform und wird für Folgendes verwendet:
- Hinzufügen von Sicherheitsrichtlinieninformationen beim Implementieren von Anwendungen
- Zugriff auf mit WebSphere Application Server gesicherte Ressourcen autorisieren
Beim Implementieren von Anwendungen liest der integrierte TAM-Client alle Informationen zu Richtlinien und/oder Benutzern und Rollen im Implementierungsdeskriptor der Anwendung und speichert sie im Tivoli Access Manager-Richtlinienserver.
Wenn ein Benutzer den Zugriff auf eine von WebSphere Application Server verwaltete Ressource anfordert, wird auch der JACC-Provider von Tivoli Access Manager aufgerufen.

- Benutzer, die auf geschützte Ressourcen zugreifen, werden mit dem Anmeldemodul von Tivoli Access Manager authentifiziert. Dieses Modul ist so konfiguriert, dass es bei Aktivierung des integrierten Tivoli Access Manager-Clients verwendet wird.
- Der Container von WebSphere Application Server bestimmt anhand von Informationen aus dem Implementierungsdeskriptor der Java-EE-Anwendung die Zugehörigkeit zur erforderlichen Rolle.
- WebSphere Application Server fordert über den integrierten Tivoli Access Manager-Client eine Berechtigungsentscheidung beim Tivoli Access Manager-Berechtigungsserver an. Sind zusätzliche Kontextinformationen verfügbar, werden diese ebenfalls an den Berechtigungsserver übergeben. Diese Kontextinformationen sind der Zellenname, der Name der Java-EE-Anwendung und der Name des Java-EE-Moduls. Wenn die Richtliniendatenbank von Tivoli Access Manager Richtlinien für eine dieser Kontextinformationen enthält, trifft der Berechtigungsserver seine Entscheidung ausgehend von diesen Kontextinformationen.
- Der Berechtigungsserver überprüft die Berechtigungen, die für den angegebenen Benutzer definiert sind, in dem von Tivoli Access Manager geschützten Objektbereich. Der geschützte Objektbereich ist Teil der Richtliniendatenbank.
- Der Tivoli Access Manager-Berechtigungsserver gibt die Zugriffsentscheidung an den integrierten Tivoli Access Manager-Client zurück.
- WebSphere Application Server kann ausgehend von der Entscheidung, die der Berechtigungsserver von Tivoli Access Manager zurückgegeben hat, den Zugriff auf die geschützte Methode oder Ressource gewähren oder verweigern.
- IBM Tivoli Access Manager for e-business
Installation Guide
Dieses Handbuch beschreibt die Planung, Installation und Konfiguration einer gesicherten Tivoli Access Manager-Domäne. Mit einer Reihe einfacher Installationsscripts können Sie schnell eine voll funktionsfähige Sicherheitsdomäne implementieren. Diese Scripts sind hilfreich für die Schaffung eines Prototyps für die Implementierung einer gesicherten Domäne.
Um auf dieses Handbuch im Information Center von IBM Tivoli Access Manager for e-business zuzugreifen, klicken Sie auf Access Manager for e-business > Installation and upgrade information > Installation Guide.
- IBM Tivoli Access Manager for e-business
Administration Guide
Diese Veröffentlichung gibt einen Überblick über das Sicherheitsmodell von Tivoli Access Manager für die Verwaltung geschützter Ressourcen. In diesem Handbuch ist die Konfiguration der Tivoli Access Manager-Server, die Entscheidungen bezüglich der Zugriffssteuerung treffen, beschrieben. Hier finden Sie auch ausführliche Anweisungen für wichtige Tasks wie das Deklarieren von Sicherheitsrichtlinien, das Definieren geschützter Objektbereiche und das Verwalten von Benutzer- und Gruppenprofilen.
Um auf dieses Handbuch im Information Center von IBM Tivoli Access Manager for e-business zugreifen zu können, klicken Sie auf Access Manager for e-business > Administration Information > Administration Guide.

Die obige Abbildung zeigt eine Beispielarchitektur, in der WebSphere Application Server mit Tivoli Access Manager geschützt werden.
Die vorhandenen WebSphere Application Server verwenden ein lokales Replikat der Richtliniendatenbank von Tivoli Access Manager, um für ankommende Anforderungen Berechtigungsentscheidungen zu treffen. Die lokalen Richtliniendatenbanken sind Replikate der Masterrichtliniendatenbank. Die Masterrichtliniendatenbank wird mit Tivoli Access Manager installiert. Durch die Replikate der Richtliniendatenbank auf jedem Knoten von WebSphere Application Server wird ein optimaler Durchsatz beim Fällen von Autorisierungsentscheidungen erreicht und eine Funktionsübernahme ermöglicht.
Der Berechtigungsserver kann auch auf demselben System wie WebSphere Application Server installiert werden. Diese Konfiguration ist allerdings nicht in der Abbildung gezeigt.
In der Beispielarchitektur verwenden alle Instanzen von Tivoli Access Manager und WebSphere Application Server die LDAP-Benutzerregistry auf Maschine E gemeinsam.
Die von WebSphere Application Server unterstützten LDAP-Registrys werden auch von Tivoli Access Manager unterstützt.
![[IBM i]](../images/iseries.gif)