Sichere Anwendungen implementieren

Die Implementierung von Anwendungen mit Sicherheitsvorgaben (sichere Anwendungen) unterscheidet sich kaum von der Implementierung von Anwendungen ohne Sicherheitsvorgaben. Der einzige Unterschied besteht darin, dass Sie bei einer sicheren Anwendung unter Umständen Rollen Benutzer und Gruppen zuordnen müssen. Für sichere Anwendungen muss die richtige Benutzerregistry aktiv sein.

Vorbereitende Schritte

Vor Ausführung dieser Task sollten Sie bereits eine Anwendung mit allen wichtigen Sicherheitskonfigurationen entworfen, entwickelt und assembliert haben. Nähere Informationen zu diesen Tasks finden Sie in den Artikeln Anwendungen entwickeln, die programmgesteuerte Sicherheit verwenden und Anwendungen während der Assemblierung und Implementierung sichern. In diesem Kontext werden Implementierung und Installation einer Anwendung als eine Task angesehen.
Klicken Sie zum Implementieren einer neue gesicherten Anwendung auf Anwendungen > Neue Anwendung installieren, und folgen Sie anschließend den Eingabeaufforderungen zum Durchführen der Installationsschritte. Ein erforderlicher Schritt bei der Implementierung sicherer Anwendungen ist somit die Zuordnung von Benutzern und Gruppen zu den in der Anwendung definierten Rollen.
  • Wenn Sie eine sichere Anwendung installieren, sind in der Anwendung Rollen definiert.
  • Falls eine Delegierung erforderlich ist, werden Sie in der Anwendung auch RunAs-Rollen definieren.

Die Rollen werden während der Installation einer neuen Anwendung definiert, wenn die Sicherheitsrollen Benutzern und Gruppen zugeordnet werden. Falls diese Zuordnung bereits mit dem Assembliertool ausgeführt wurde, können Sie die Zuordnung durch Ausführen dieses Installationsschrittes noch bestätigen. Sie können aber auch neue Benutzer und Gruppen hinzufügen oder vorhandene Angaben ändern.

Falls die Anwendung die Delegierung unterstützt, ist bereits eine RunAs-Rolle für die Anwendung definiert. Wenn die Delegierungsrichtlinie beim Assemblieren auf Angegebene Identität gesetzt wird, ruft der Vermittler eine Methode mit einer bei der Implementierung konfigurierten Identität auf. Geben Sie für die RunAs-Rolle die Identität an, unter der untergeordnete Aufrufe ausgeführt werden sollen. Wenn die RunAs-Rolle beispielsweise dem Benutzer bob zugeordnet ist und der Client alice ein Servlet mit definierter Delegierung aufruft, mit dem wiederum die Enterprise-Beans aufgerufen werden, wird die Methode für die Enterprise-Beans unter der Identität bob aufgerufen.

Einer der Schritte im Installations- und Implementierungsprozess ist die Zuordnung von Benutzern zu den RunAs-Rollen bzw. das Ändern bereits bestehender Zuordnungen. Führen Sie diesen Schritt aus, um RunAs-Rollen neue Benutzer zuzuordnen bzw. bereits zugeordnete Benutzer zu ändern, wenn die Delegierungsrichtlinie auf Angegebene Identität gesetzt ist.

Wichtig: Wenn Tivoli Access Manager (TAM) aktiviert ist, kann die Implementierung und Deimplementierung von Anwendungen sehr lange dauern, und es können sogar Zeitlimitüberschreitungen auftreten. Durch die Aktivierung des ATCCache kann das Problem unter Umständen behoben werden. Der ATCCache existiert, um die Leistung während der Implementierung und Deimplementierung von Anwendungen zu verbessern. Bei einigen Anwendungen, insbesondere solchen mit vielen Modulen, kann der Cache negative Auswirkungen auf die Leistung in diesen Bereichen haben. Zum Inaktivieren des ATCCache navigieren Sie in das Verzeichnis config/cells/Zellenname und ändern Sie Datei amwas.amjacc.template.properties, um com.tivoli.pd.as.atcc.ATCCache.enabled=false zu definieren. Da der integrierte TAM bereits konfiguriert ist, aktualisieren Sie die Konfigurationsdateien mit dieser Eigenschaft. Wechseln Sie für jede Instanz in der Zelle in das Verzeichnis profiles/<Profilname>/etc/tam, und ändern Sie alle Dateien, die mit amjacc.properties enden, um com.tivoli.pd.as.atcc.ATCCache.enabled=false zu setzen. Die Zelle muss erneut gestartet werden, damit diese Änderungen wirksam werden.

Informationen zu diesem Vorgang

Die Schritte beim Modifizieren einer vorhandenen Anwendung sind dieselben wie beim Installieren einer neuen Anwendung.

Führen Sie für die Installation und die Implementierung der Anwendung die folgenden Schritte aus.

Vorgehensweise

  1. Klicken Sie auf Anwendungen > Neue Anwendung installieren. Führen Sie die erforderlichen Schritte aus, bis Sie zum dem Schritt für die Zuordnung von Sicherheitsrollen zu Benutzern und Gruppen gelangen.
  2. [AIX Solaris HP-UX Linux Windows][IBM i]Falls die Anwendung Rollen enthält, ordnen Sie diesen Benutzer und Gruppen zu. Klicken Sie an diesem Punkt der Installation unter "Weitere Eigenschaften" auf Sicherheitsrollen Benutzern oder Gruppen zuordnen. Weitere Informationen finden Sie im Artikel Benutzer und Gruppen Rollen zuordnen.
  3. Falls es in der Anwendung RunAs-Rollen gibt, ordnen Sie diesen Benutzer zu. Klicken Sie an diesem Punkt der Installation unter "Weitere Eigenschaften" auf RunAs-Rollen zu Benutzern zuordnen. Weitere Informationen finden Sie im Artikel Benutzer RunAs-Rollen zuordnen.
  4. Optional: Klicken Sie auf Richtige Verwendung der System-ID, falls Sie RunAs-Rollen angeben möchten. Führen Sie diesen Schritt aus, wenn die Delegierung für die Verwendung der System-ID konfiguriert ist, was nur für Enterprise-Beans gilt. Die System-ID ruft mit der WebSphere Application Server-Sicherheitsserver-ID untergeordnete Methoden auf. Die System-ID sollte nach Möglichkeit nicht verwendet werden, da sie hinsichtlich interner WebSphere Application Server-Methoden mehr Zugriffsrechte als andere IDs hat. Diese Task wurde hier aufgenommen, um dem Implementierer zu verdeutlichen, dass die in der Anzeige aufgelisteten Methoden für die Delegierung die System-ID verwenden, sodass er die Angaben ggf. korrigieren kann. Wenn Sie das Feature internalServerId verwenden, wird runAs mit der System-ID nicht unterstützt. In diesem Fall müssen Sie RunAs-Rollen angeben.
  5. Führen Sie die verbleibenden, nicht auf die Sicherheit bezogenen Schritte aus, um Installation und Implementierung der Anwendung abzuschließen.

Nächste Schritte

Vergewissern Sie sich nach der Implementierung einer sicheren Anwendung, dass Sie mit den richtigen Berechtigungsnachweisen auf die Ressourcen der Anwendung zugreifen können. Enthält Ihre Anwendung beispielsweise ein sicheres Webmodul, stellen Sie sicher, dass die Anwendung nur von den Benutzern verwendet werden kann, die Sie den Rollen zugeordnet haben.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sdeplap
Dateiname:tsec_sdeplap.html