Selección de un mecanismo de autenticación

Un mecanismo de autenticación define las reglas sobre la información de seguridad, como por ejemplo si se puede reenviar una credencial a otro proceso Java™ y el formato con el que se almacena la información de seguridad en las credenciales y las señales. Puede seleccionar y configurar un mecanismo de autenticación mediante la consola administrativa.

Acerca de esta tarea

La autenticación es el proceso de establecer si un cliente es quien dice ser dentro de un contexto determinado. Un cliente puede ser un usuario, una máquina o una aplicación. Un mecanismo de autenticación en WebSphere Application Server suele colaborar estrechamente con un registro de usuarios. El registro de usuarios es el repositorio de cuentas de grupos y usuarios que el mecanismo de autenticación consulta cuando realiza la autenticación. El mecanismo de autenticación es el responsable de crear una credencial, que es una representación interna del producto de un usuario que se ha autenticado correctamente. No todas las credenciales se crean igualmente. Las posibilidades de la credencial las determina el mecanismo de autenticación configurado.

WebSphere Application Server proporciona tres mecanismos de autenticación: LTPA (Lightweight Third Party Authentication), Kerberos y el mecanismo de autenticación de señales RSA.

Para este release de WebSphere Application Server se ha añadido soporte de seguridad para Kerberos como mecanismo de autenticación. Kerberos (KRB5) es un protocolo de autenticación de red avanzado, flexible, abierto y muy seguro. Kerberos incluye autenticación, autenticación mutua, integridad y confidencialidad de mensajes y características de delegación. KRB5 se utiliza para Kerberos en la consola administrativa y en los archivos sas.client.props, soap.client.props y ipc.client.props.

El mecanismo de autenticación de señales RSA es nuevo en este release de WebSphere Application Server. Este mecanismo ayuda al objetivo de gestión flexible a conservar las configuraciones de perfiles base y a aislarlas de una perspectiva de seguridad. Asimismo, permite que los perfiles base gestionados por un agente administrativo tengan distintas claves LTPA (Lightweight Third-Party Authentication), distintos registros de usuarios y distintos usuarios administrativos.

Nota: En este release, SWAM (Simple WebSphere Authentication Mechanism) está en desuso. SWAM no proporciona una comunicación autenticada entre los distintos servidores.

Se necesita la autenticación para los clientes de enterprise bean y los clientes web cuando acceden a recursos protegidos. Los clientes de enterprise bean como, por ejemplo, un servlet, otro enterprise bean o un cliente puro, envían la información de autenticación a un servidor de aplicaciones web utilizando uno de los siguientes protocolos:

  • Common Secure Interoperability Versión 2 (CSIv2)
  • [AIX Solaris HP-UX Linux Windows][IBM i]Secure Authentication Service (SAS)
    Nota: z/SAS sólo está soportado entre servidores de la versión 6.0.x y anteriores que se hayan federado en una célula de la Versión 6.1.
  • [z/OS]z/SAS (z/OS Secure Authentication Service)
    Nota: z/SAS sólo está soportado entre servidores de la versión 6.0.x y anteriores que se hayan federado en una célula de la Versión 6.1.

Los clientes Web utilizan el protocolo HTTP o HTTPS para enviar la información de autenticación.

La información de autenticación puede ser una autenticación básica (ID de usuario y contraseña), una señal de credenciales o un certificado de cliente. El módulo de autenticación web realiza la autenticación web.

Puede configurar la autenticación web para un cliente web utilizando la consola administrativa. Pulse Seguridad > Seguridad global. En Autenticación, expanda Seguridad Web y SIP y pulse Valores generales. Existen las siguientes opciones para la autenticación Web:
Autenticar sólo cuando el URI está protegido
Especifica que el cliente web puede recuperar una identidad autenticada sólo cuando accede a un URI (Uniform Resource Identifier) protegido. WebSphere Application Server desafía al cliente web para que proporcione datos de autenticación cuando el cliente web accede a un URI que está protegido por un rol de J2EE. Esta opción por omisión también esta disponible en versiones anteriores de WebSphere Application Server.
Utilizar los datos de autenticación disponibles cuando se accede a un URI no protegido
Especifica que el cliente web está autorizado a llamar a los métodos getRemoteUser, isUserInRole y getUserPrincipal y recupera una identidad autenticada de un URI protegido o no protegido. Aunque los datos de autenticación no se utilizan al acceder a un URI no protegido, los datos de autenticación se retienen para su utilización en el futuro. Esta opción está disponible cuando se selecciona el recuadro de selección Autenticar sólo cuando el URI está protegido.
Autenticar cuando se accede a cualquier URI
El cliente that debe proporcionar los datos de autenticación independientemente de si el URI está protegido o no.
Tomar por omisión la autenticación básica cuando falla la autenticación de certificados del cliente HTTPS
Especifica que WebSphere Application Server debe desafiar al cliente web para que proporcione un ID de usuario y contraseña cuando se produzca un error de la autenticación de certificado de cliente HTTPS.

El módulo de autenticación de Enterprise JavaBeans (EJB) realiza la autenticación de enterprise bean.

[AIX Solaris HP-UX Linux Windows][IBM i]El módulo de autenticación de EJB reside en la capa de CSIv2 y SAS.

[z/OS]El módulo de autenticación de EJB reside en la capa de CSIv2 y z/SAS.

El módulo de autenticación se implementa utilizando el módulo de inicio de sesión JAAS (Java Authentication and Authorization Service). El autenticador web y el autenticador de EJB pasan los datos de autenticación al módulo de inicio de sesión, que puede utilizar los siguientes mecanismos para autenticar los datos:

  • Kerberos
  • LTPA
  • Señal RSA
  • [z/OS]SWAM (Simple WebSphere Authentication Mechanism)
    Nota: SWAM se puso en desuso en WebSphere Application Server Versión 6.1 y se eliminará de releases futuros.
El módulo de autenticación utiliza el registro configurado en el sistema para realizar la autenticación. Se da soporte a cuatro tipos de registros:
  • Depósitos federados
  • Sistema operativo local
  • Registro autónomo LDAP (Lightweight Directory Access Protocol)
  • Registro personalizado autónomo

La implementación de registro externo que sigue a la interfaz de registro especificada por IBM® puede sustituir al registro LDAP o al sistema operativo local.

El módulo de inicio de sesión crea un sujeto JAAS después de la autenticación, y almacena la credencial derivada de los datos de autenticación en la lista de credenciales públicas del sujeto. La credencial se devuelve al autenticador web o al autenticador de enterprise beans.

[AIX Solaris HP-UX Linux Windows][IBM i]El autenticador web y el autenticador de enterprise beans almacenan las credenciales recibidas en el ORB (Object Request Broker) actual para que el servicio de autorización las utilice en la realización de más comprobaciones de control de accesos. Si las credenciales se pueden reenviar, se envían a otros servidores de aplicaciones.

[z/OS]El autenticador web y el autenticador de enterprise beans almacenan las credenciales recibidas para que el servicio de autorización las utilice en la realización de más comprobaciones de control de accesos.

Puede configurar mecanismos de autenticación en la consola administrativa siguiendo estos pasos:

Procedimiento

  1. Pulse Seguridad > Seguridad global
  2. En Mecanismos de autenticación y caducidad, seleccione el mecanismo de autenticación que desea configurar.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_aumech
File name: tsec_aumech.html