Konfiguration für serverseitige JAAS-Authentifizierung und -Anmeldung anpassen

WebSphere Application Server unterstützt das Plug-in eigener JAAS-Anmeldemodule (Java™ Authentication and Authorization Service) vor oder hinter dem Systemanmeldemodul von WebSphere Application Server. Der Austausch der Systemanmeldemodule von WebSphere Application Server, die zum Erstellen des Berechtigungsnachweises WSCredential und des Principal "WSPrincipal" im Subject erforderlich sind, wird von WebSphere Application Server jedoch nicht unterstützt. Durch die Verwendung eines eigenen Anmeldemoduls können Sie zusätzliche Authentifizierungsentscheidungen treffen oder dem Subject Informationen hinzufügen, um in einer Java EE-Anwendung (Java Platform, Enterprise Edition) weitergehende, unter Umständen differenziertere Berechtigungsentscheidungen zu treffen.

Informationen zu diesem Vorgang

Mit WebSphere Application Server können Sie in einem Downstreamrozess Informationen weitergegeben, die von einem angepassten Anmeldemodul zum Subject hinzugefügt werden. Weitere Informationen hierzu finden Sie im Artikel Weitergabe von Sicherheitsattributen.Lesen Sie die Beschreibungen der Anmeldekonfigurationen im Artikel Einstellungen für Einträge der Systemanmeldekonfiguration für Java Authentication and Authorization Service, um zu ermitteln, welche Anmeldekonfiguration Sie für Ihre angepassten Anmeldemodule verwenden müssen.

WebSphere Application Server unterstützt Änderungen der Systemanmeldekonfiguration über die Administrationskonsole und die Verwendung des Scripting-Dienstprogramms "wsadmin". Klicken Sie zum Konfigurieren der Systemanmeldung mit der Administrationskonsole auf Sicherheit > Globale Sicherheit. Klicken Sie unter "Java Authentication and Authorization Service" auf Systemanmeldungen.

Vorgehensweise

Nächste Schritte

Der Anwendungsname und das Objekt "HttpServletRequest" können vom eigenen Anmeldemodul für die Ausführung von Zuordnungsfunktionen gelesen werden. Die Fehlerseite der formularbasierten Anmeldung kann von einem eigenen Anmeldemodul geändert werden. Neben dem JAAS-Framework unterstützt WebSphere Application Server auch Trust Association Interceptor (TAI).

Mit einem eigenen Anmeldemodul können dem Caller-Subject während der Authentifizierung weitere Arten von Berechtigungsnachweisen und Informationen hinzugefügt werden. Die Berechtigungsnachweise von Fremdanbietern im Subject des aufrufenden Prozesses werden von WebSphere Application Server im Rahmen des Sicherheitskontextes verwaltet. Das Caller-Subject wird während der Verarbeitung der Anforderung an den aktiven Thread gebunden. Wenn ein Web- oder EJB-Modul für die Verwendung der Calleridentität konfiguriert ist, wird die Identität in einer EJB-Anforderung an den Downstream-Service weitergegeben. Der WSCredential-Berechtigungsnachweis und alle Berechtigungsnachweise von Fremdanbietern im Caller-Subject werden nicht an die nachgeschalteten Server weitergeben. Stattdessen können einige Informationen auf der Basis der weitergegebenen Identität auf dem Zielserver erneut generiert werden. Fügen Sie dem Subject des aufrufenden Prozesses während der Authentifizierung Berechtigungsnachweise Dritter hinzu. Das Caller-Subject, das von der Methode WSSubject.getCallerSubject zurückgegeben wird, ist schreibgeschützt und kann somit nicht geändert werden. Weitere Informationen zum WSSubject-Subject finden Sie im Artikel Caller-Subject aus dem Thread für JAAS abrufen.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_custsvrsidejaas
Dateiname:tsec_custsvrsidejaas.html