Seguridad basada en roles con Tivoli Access Manager incorporado

El modelo de autorizaciones basado en roles de Java™ Platform, Enterprise Edition (Java EE) utiliza conceptos de roles y recursos. A continuación se ofrece un ejemplo.

Tabla 1. Roles.

Esta tabla es un ejemplo de seguridad basada en roles con Tivoli Access Manager incorporado.

Roles getBalance deposit closeAccount
Empleado de banco otorgado otorgado  
Cajero otorgado    
Supervisor     otorgado

En el ejemplo de la aplicación bancaria conceptualizada en la tabla anterior, se definen tres roles: empleado de banco, cajero y supervisor. Los permisos para llevar a cabo los métodos de aplicación getBalance, deposit y closeAccount, se correlacionan con estos roles. En el ejemplo, puede ver que los usuarios a los que se ha asignado el rol Supervisor pueden ejecutar el método closeAccount, mientras que los otros dos roles no pueden ejecutar este método.

El término principal dentro de la seguridad de WebSphere Application Server hace referencia a una persona o un proceso que lleva a cabo actividades. Los grupos son conjuntos lógicos de principales configurados en WebSphere Application Server para contribuir a la seguridad de aplicación. Los roles se pueden correlacionar con principales, grupos o con ambos.

Tabla 2. Métodos de roles. La entrada invocada en la tabla siguiente indica que el principal o el grupo puede invocar cualquier método permitido para ese rol.
Principal/Grupo Empleado de banco Cajero Supervisor
Grupo de empleados de banco Invoke    
Grupo de cajeros   Invoke  
Grupo de supervisores      
Frank: Un principal que no es miembro de ninguno de los grupos anteriores   Invoke Invoke
En el ejemplo anterior, el principal Frank puede invocar los métodos getBalance y closeAccount, pero no puede invocar el método deposit porque no se le ha otorgado el rol Cajero ni Supervisor.

En el momento del despliegue de la aplicación, el proveedor de JACC (Java Authorization Contract for Container) de Tivoli Access Manager rellena el espacio de objeto protegido de Tivoli Access Manager con una información de políticas de seguridad contenida en el descriptor de despliegue de la aplicación y/o anotaciones. Esta información de seguridad se utiliza para determinar el acceso siempre que se solicita el recurso de WebSphere Application Server.

De forma predeterminada, la verificación de acceso de Tivoli Access Manager se realiza utilizando el nombre de rol, el nombre de célula, el nombre de aplicación y el nombre del módulo.

Las ACL (listas de control de acceso) de Tivoli Access Manager determinan los roles de aplicación que se han asignado a un principal. Las ACL se asignan a las aplicaciones en el espacio de objeto protegido de Tivoli Access Manager en el momento del despliegue de la aplicación.

Las correlaciones de principales con roles se gestionan desde la consola administrativa de WebSphere Application Server y nunca se modifican utilizando Tivoli Access Manager. Las actualizaciones directas de las ACL se realizan sólo para usuarios de seguridad administrativa.

Se produce la siguiente secuencia de sucesos:
  1. Durante el despliegue de la aplicación, se envía información de políticas al proveedor de JACC de Tivoli Access Manager. Esta información de políticas contiene correlaciones de permisos con roles, e información de correlaciones de roles con principales y roles con grupos.
  2. El proveedor de JACC de Tivoli Access Manager convierte la información en el formato necesario, y pasa esta información al servidor de políticas de Tivoli Access Manager.
  3. El servidor de políticas añade entradas al espacio de objeto protegido de Tivoli Access Manager para representar los roles definidos para la aplicación y las correlaciones de permisos con roles. Un permiso se representa como un objeto protegido de Tivoli Access Manager, y el rol otorgado a este objeto se asigna como un atributo ampliado.

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_role_based_sec
File name: csec_role_based_sec.html