Integration von Tivoli Access Manager als JACC-Provider
Tivoli Access Manager verwendet das JACC-Modell (Java™ Authorization Contract for Container) in WebSphere Application Server für die Durchführung von Zugriffsprüfungen.
- Laufzeitumgebung
- Clientkonfiguration
- Unterstützung für Berechtigungstabellen
- Zugriffsprüfung
- Authentifizierung mit dem Modul PDLoginModule
Für die Laufzeitänderungen implementiert Tivoli Access Manager die Schnittstellen "PolicyConfigurationFactory" und "PolicyConfiguration", die von JACC vorausgesetzt werden. Mit diesen Schnittstellen werden während der Anwendungsinstallation die Informationen zur Sicherheitsrichtlinie aus dem Implementierungsdeskriptor und die Informationen zu den Berechtigungstabellen in den Bindungsdateien an den Tivoli-Provider weitergegeben. Der Tivoli-Provider speichert die Informationen zur Richtlinie und den Berechtigungstabellen im Tivoli Access Manager-Richtlinienserver, indem er die entsprechenden APIs von Tivoli Access Manager aufruft.
Tivoli Access Manager implementiert außerdem die Schnittstellen "RoleConfigurationFactory" und "RoleConfiguration". Diese Schnittstellen werden verwendet, um sicherzustellen, dass die Informationen zu den Berechtigungstabellen zusammen mit den Richtlinieninformationen an den Provider weitergegeben werden. Weitere Informationen zu diesen Schnittstellen finden Sie im Artikel Schnittstellen, die JACC unterstützen.
Für die Konfiguration des TAM-Clients (Tivoli Access Manager) können Sie die Administrationskonsole oder das Scripting-Tool wsadmin verwenden. Zum Aufrufen der Administrationskonsolseiten für die Konfiguration des Tivoli Access Manager-Clients klicken Sie auf Sicherheit > Globale Sicherheit > Externe Berechtigungsprovider. Klicken Sie unter "Zugehörige Elemente" auf Externer JACC-Provider. Im Tivoli-Client muss die Verwendung des Tivoli Access Manager-JACC-Providers konfiguriert sein.
Nähere Informationen zum Konfigurieren des Tivoli Access Manager-Clients finden Sie im Artikel JACC-Provider von Tivoli Access Manager konfigurieren.
Tivoli Access Manager verwendet die Schnittstelle "RoleConfiguration", um sicherzustellen, dass die Informationen zu den Berechtigungstabellen an den Tivoli Access Manager-Provider übergeben werden, wenn die Anwendung installiert oder implementiert wird. Wenn eine Anwendung implementiert oder geändert wird, werden die Benutzer und Gruppen für die Zuordnung von Benutzern bzw. Gruppen zu Rollen vom Tivoli Access Manager-Server abgerufen, der denselben LDAP-Server wie WebSphere Application Server verwendet. Die gemeinsame Nutzung wird durch Integration der Informationen in die Anzeigen für die Zuordnung von Benutzern bzw. Gruppen zu Rollen in der Administrationskonsole erreicht. Anstatt sich auf die in WebSphere Application Server konfigurierte LDAP-Registry zu stützen, werden die Verwaltungs-APIs aufgerufen, um Benutzer und Gruppen abzurufen.
Die Zuordnung von Benutzern und Gruppen zu Rollen wird auf Anwendungsebene und nicht auf Knotenebene vorgenommen.
Wenn in WebSphere Application Server die Verwendung des JACC-Providers für Tivoli Access Manager konfiguriert ist, werden die Informationen für die Zugriffsentscheidung an Tivoli Access Manager übergeben. Die Richtlinienimplementierung von Tivoli Access Manager fragt die lokale Kopie der ACL-Datenbank (Access Control List, Zugriffssteuerungsliste) ab, um die Zugriffsentscheidung zu treffen.
Das angepasste Anmeldemodul in WebSphere Application Server kann die Authentifizierung vornehmen. Dieses Anmeldemodul wird vor den von WebSphere Application Server bereitgestellten Anmeldemodulen integriert. Die angepassten Anmeldemodule können Informationen bereitstellen, die im Subject gespeichert sind. Falls die erforderlichen Informationen im Subject gespeichert sind, werden keine weiteren Registryaufrufe abgesetzt, um diese Informationen zu erhalten.