Delegaciones

La delegación es un proceso de propagación de identidad de seguridad desde un emisor a un objeto llamado. Según la especificación Java™ Platform, Enterprise Edition (Java EE), un servlet y enterprise beans pueden propagar la identidad del cliente o de usuario remoto cuando invocan a enterprise beans o pueden utilizar otra identidad especificada como se indica en el descriptor de despliegue correspondiente.

La extensión da soporte a la propagación de enterprise beans al ID de servidor cuando se invocan otros beans de entidad. Existen tres tipos de delegaciones posibles:
  • Delegación (RunAs) de identidad de cliente
  • Delegación (RunAs) de identidad especificada
  • Delegación (RunAs) de identidad de sistema
Delegación de (RunAs) identidad de cliente
Delegación de (RunAs) identidad especificada
Delegación de (RunAs) identidad de sistema
Nota: La delegación de identidad de sistema RunAs sólo funciona cuando se utilizan el ID de servidor y la contraseña. Cuando se utiliza la característica internalServerId, no funciona porque no se da soporte a runAs con la identidad de sistema. Debe especificar roles RunAs. Cuando se utiliza InternalServerID, utilice el RunAsSpecified con un ID de usuario y una que esté correlacionado con el rol de administrador. Consulte Roles administrativos y autorización de servicios de nombres para obtener más información sobre internalServerId.

La especificación EJB sólo da soporte a la delegación (RunAs) a nivel de EJB (Enterprise JavaBeans). No obstante, una extensión permite la especificación RunAs a nivel de método EJB. Con un nivel de método EJB, la especificación RunAs puede especificar otro rol RunAs para distintos métodos dentro de los mismos enterprise beans.

La especificación RunAs se detalla en el descriptor de despliegue, que es el archivo ejb-jar.xml en el módulo EJB y el archivo web.xml en el módulo web. La extensión de la especificación RunAs se incluye en el archivo ibm-ejb-jar-ext.xml.

Hay disponible un archivo de enlace específico de IBM para cada aplicación que contenga una correlación del rol RunAs con el usuario. Este archivo se especifica en el archivo ibm-application-bnd.xml.

El tiempo de ejecución lee estas especificaciones al iniciar la aplicación. La figura siguiente ilustra el mecanismo de delegación, tal como se implementa en el modelo de seguridad de WebSphere Application Server.
La figura siguiente ilustra el mecanismo de delegación, tal como se implementa en el modelo de seguridad de WebSphere Application Server.

Proceso de delegación

Dos tablas son de gran ayuda en el proceso de delegación:
  • La tabla de correlación de recursos con roles RunAs
  • La tabla de correlación de roles RunAs con ID de usuario y contraseñas

Utilice la tabla de correlación de recursos con roles RunAs para obtener el rol que utiliza un servlet o los enterprise beans para propagarse a la siguiente llamada de enterprise beans.

Utilice la tabla de correlación de roles RunAs con ID de usuario y contraseñas para obtener el ID de usuario que pertenece al rol RunAs y su contraseña.

La delegación se realiza si la autenticación y la autorización han sido satisfactorias. Durante este proceso, el módulo de delegación consulta la tabla de correlación de recursos con roles RunAs para obtener el rol RunAs (3). El módulo de delegación consulta la tabla de correlación de roles RunAs con ID de usuario y contraseñas para obtener el usuario que pertenece al rol RunAs (4). El ID de usuario y la contraseña se utilizan para crear una nueva credencial utilizando el módulo de autenticación, que no aparece en la figura.

[AIX Solaris HP-UX Linux Windows][IBM i]La credencial resultante se almacena en el ORB (Object Request Broker) actual como una credencial de invocación (5). El servlet y los enterprise beans, cuando invoquen otros enterprise beans, recogen la credencial de invocación del ORB actual (6) y llaman a los siguientes enterprise beans (7).


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_deleg
File name: csec_deleg.html