Rollenbasierte Sicherheit mit integriertem Tivoli Access Manager

Das Java™-EE-Modell (Java Platform, Enterprise Edition) der rollenbasierten Berechtigung arbeitet mit den Konzepten der Rollen und Ressourcen. Es folgt ein Beispiel.

Tabelle 1. Rollen.

Die folgende Tabelle enthält ein Beispiel für rollenbasierte Sicherheit mit integriertem Tivoli Access Manager.

Rollen getBalance deposit closeAccount
Schalterbeamter erteilt erteilt  
Kassierer erteilt    
Supervisor     erteilt

Für die in der obigen Tabelle dargestellte Anwendung sind drei Rollen definiert: Schalterbeamter, Kassierer und Supervisor. Diesen Rollen muss die Berechtigung zur Ausführung der Anwendungsmethoden getBalance, deposit und closeAccount zugeordnet werden. Aus diesem Beispiel können Sie ersehen, dass die der Rolle Supervisor zugeordneten Benutzer die Methode closeAccount ausführen dürfen, die Benutzer der anderen Rollen jedoch nicht.

Der Begriff Principal in der Sicherheit von WebSphere Application Server bezeichnet eine Person oder einen Prozess, der Aktivitäten ausführt. Gruppen sind logisch zusammengefasste Principals und werden in WebSphere Application Server verwendet, um die Anwendung von Sicherheitskonzepten zu erleichtern. Rollen können Principals und/oder Gruppen zugeordnet werden.

Tabelle 2. Rollenmethoden. Der Eintrag, der in der folgenden Tabelle aufgerufen wird, zeigt an, dass der Principal bzw. die Gruppe jede Methode aufrufen kann, die dieser Rolle zugeordnet ist.
Principal/Gruppe Schalterbeamter Kassierer Supervisor
Schalterbeamtengruppe Aufrufen    
Kassierergruppe   Aufrufen  
Supervisorgruppe      
Frank: Ein Principal, der keiner der vorherigen Gruppen als Member angehört.   Aufrufen Aufrufen
Der Principal Frank aus dem obigen Beispiel kann die Methoden getBalance und closeAccount, jedoch nicht die Methode deposit aufrufen, da diese Methode weder der Rolle Kassierer noch der Rolle Supervisor zugeordnet ist.

Bei der Anwendungsimplementierung füllt der JACC-Provider (Java Authorization Contract for Container) von Tivoli Access Manager den von Tivoli Access Manager geschützten Objektbereich mit Sicherheitsrichtlinieninformationen, die im Implementierungsdeskriptor der Anwendung und/oder in Annotationen enthalten sind. Anhand dieser Sicherheitsinformationen wird bei jeder Anforderung der Ressource von WebSphere Application Server über den Zugriff entschieden.

Standardmäßig wird die Zugriffsprüfung von Tivoli Access Manager durchgeführt, für die der Name der Rolle, der Zellenname, der Anwendungsname und der Modulname herangezogen werden.

Die Zugriffssteuerungslisten (ACLs, Access Control Lists) von Tivoli Access Manager legen fest, welche Anwendungsrollen einem Principal zugeordnet werden. ACLs werden bei der Anwendungsimplementierung dem von Tivoli Access Manager geschützten Objektbereich zugeordnet.

Die Zuordnung zwischen Principals und Rollen wird in der Administrationskonsole von WebSphere Application Server definiert und von Tivoli Access Manager nicht geändert. Direkte Aktualisierungen für ACLs werden nur von Benutzern der Administrationssicherheit durchgeführt.

Ablauf der Ereignisse:
  1. Während der Anwendungsimplementierung werden die Richtlinieninformationen an den JACC-Provider von Tivoli Access Manager gesendet. Diese Richtlinieninformationen enthalten Zuordnungen zwischen Berechtigungen und Rollen, Rollen und Principals sowie Rollen und Gruppen.
  2. Der JACC-Provider von Tivoli Access Manager setzt die Informationen in das erforderliche Format um und übergibt sie an den Richtlinienserver von Tivoli Access Manager.
  3. Der Richtlinienserver fügt zu dem von Tivoli Access Manager geschützten Objektbereich Einträge für Rollen hinzu, die für die Anwendung definiert sind, sowie für die Zuordnungen zwischen Berechtigungen und Rollen. Eine Berechtigung wird als ein von Tivoli Access Manager geschütztes Objekt dargestellt und die diesem Objekt zugeordnete Rolle als erweitertes Attribut.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_role_based_sec
Dateiname:csec_role_based_sec.html