Zuordnung eines GSO-Principal für die Authentifizierung

Mit dem JACC-Provider (Java™ Authorization Contract for Containers) von Tivoli Access Manager kann die Authentifizierung bei Enterprise Information Systems (EIS) wie Datenbanken, Transaktionsverarbeitungs- und Nachrichtenwarteschlangensystemen in der Sicherheitsdomäne von WebSphere Application Server verwaltet werden. Eine solche Authentifizierung wird mit dem JAAS-Anmeldemodul (Java Authentication and Authorization Service) für den GSO-Principal-Mapper (Global Single Sign-on) für Java-EE-Ressourcen (Java Platform, Enterprise Edition) erreicht.

Bei der Zuordnung eines GSO-Principal fügt ein spezielles JAAS-Anmeldemodul einen Berechtigungsnachweis in den Subject-Header ein. Dieser Berechtigungsnachweis wird vom Ressourcenadapter für die Authentifizierung beim Enterprise Information Systems (EIS) verwendet. Das verwendete JAAS-Anmeldemodul wird für jede Verbindungsfactory separat konfiguriert. Das Standardmodul für die Principal-Zuordnung ruft den Benutzernamen und das Kennwort aus den XML-Konfigurationsdateien ab. Der JACC-Provider für Tivoli Access Manager umgeht den in den XML-Konfigurationsdateien gespeicherten Berechtigungsnachweis und verwendet stattdessen die GSO-Datenbank von Tivoli Access Manager, um die Authentifizierungsdaten für die EIS-Sicherheitsdomäne bereitzustellen.

WebSphere Application Server stellt ein Standardmodul für die Principal-Zuordnung bereit, das die Informationen des Benutzerberechigungsnachweises EIS-Ressourcen zuordnet. Das Standardzuordnungsmodul wird in der Administrationskonsole von WebSphere Application Server in der Anzeige für die Anwendungsanmeldungen definiert. Klicken Sie zum Aufrufen dieser Anzeige auf Sicherheit > Globale Sicherheit. Klicken Sie unter "Java Authentication and Authorization Service" auf Anwendungsanmeldungen. Der Name des Zuordnungsmoduls ist DefaultPrincipalMapping.

Benutzer-ID und Kennwort für die EIS-Sicherheitsdomäne werden für jede Verbindungsfactory mit dem Attribut authDataAlias definiert. Das Attribut authDataAlias enthält nicht den Benutzernamen und das Kennwort, es enthält einen Aliasnamen. Dieser Aliasname verweist auf ein Paar aus einem Benutzernamen und einem Kennwort; das an anderer Stelle definiert ist.

Das Principal-Zuordnungsmodul von Tivoli Access Manager verwendet das Attribut authDataAlias, um den Namen der GSO-Ressource und den Benutzernamen zu ermitteln, der für die Suchoperation in der GSO-Datenbank von Tivoli Access Manager erforderlich ist. Der Richtlinienserver von Tivoli Access Manager ruft die GSO-Daten aus der Benutzerregistry ab.

Tivoli Access Manager speichert Authentifizierungsdaten für ein Ressource/Benutzername-Paar in der GSO-Datenbank von Tivoli Access Manager.

Abbildung 1. Zusammenfassung der GSO-Principal-ZuordnungsarchitekturZusammenfassung der GSO-Principal-Zuordnungsarchitektur

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_gso_principal_mapping
Dateiname:csec_gso_principal_mapping.html