Seguridad de Tivoli Access Manager para WebSphere Application Server
WebSphere Application Server ofrece la tecnología de cliente deIBM® Tivoli Access Manager incorporado para proteger los recursos gestionados de WebSphere Application Server.
- Autorización robusta basada en contenedor
- Gestión de política centralizada
- Gestión de identidades comunes, perfiles de usuario y mecanismos de autorización
- Gestión de seguridad de único punto para recursos Java™ EE compatibles y no compatibles conJava Platform, Enterprise Edition (Java EE) que utilizan la consola administrativa de Web Portal Manager deTivoli Access Manager
- No se necesita codificación ni cambios de despliegue en las aplicaciones
- Gestión sencilla de usuarios, grupos y roles mediante la consola administrativa de WebSphere Application Server
WebSphere Application Server da soporte a la especificación JACC (Java Authorization Contract for Containers). JACC detalla los requisitos de contrato de los contenedores Java EE y proveedores de autorización. Con este contrato, los proveedores de autorización pueden llevar a cabo decisiones de acceso para recursos en servidores de aplicaciones Java EE como WebSphere Application Server. El programa de utilidad de seguridad de Tivoli Access Manager incorporado con WebSphere Application Server es compatible con JACC y se utiliza para:
- Añadir información de política de seguridad cuando se despliegan las aplicaciones
- Autorizar el acceso a los recursos protegidos por WebSphere Application Server
Cuando se despliegan las aplicaciones, el cliente incorporado de Tivoli Access Manager toma la información de usuario y rol y la información de política almacenada en el descriptor del despliegue de la aplicación o mediante anotaciones y la almacena en Tivoli Access Manager Policy Server.
El proveedor de JACC de Tivoli Access Manager también se llama cuando un usuario solicita acceso a un recurso gestionado por WebSphere Application Server.

- Los usuarios que acceden a los recursos protegidos se autentican mediante el módulo de inicio de sesión de Tivoli Access Manager configurado para su uso cuando el cliente de Tivoli Access Manager incorporado esté habilitado.
- El contenedor de WebSphere Application Server utiliza información del descriptor de despliegue de aplicaciones Java EE y anotaciones para determinar la pertenencia a roles necesaria.
- WebSphere Application Server utiliza el cliente de Tivoli Access Manager incorporado para solicitar una decisión de autorización del servidor de autorizaciones de Tivoli Access Manager. De existir, se pasa al servidor de autorizaciones información de contexto adicional. Esta información de contexto se compone del nombre de la célula, el nombre de la aplicación Java EE y el nombre del módulo Java EE. Si la base de datos de políticas de Tivoli Access Manager tiene políticas especificadas para un tipo de información de contexto cualquiera, el servidor de autorizaciones utiliza esta información para tomar la decisión de autorización.
- El servidor de autorizaciones consulta los permisos definidos para el usuario especificado en el espacio de objeto protegido por Tivoli Access Manager. El espacio de objeto protegido forma parte de la base de datos de políticas.
- El servidor de autorizaciones de Tivoli Access Manager devuelve la decisión de acceso al cliente de Tivoli Access Manager incorporado.
- WebSphere Application Server otorga o deniega el acceso al método o recurso protegido en función de la decisión devuelta por el servidor de autorizaciones de Tivoli Access Manager.
- IBM Tivoli Access Manager for e-business
Installation Guide
Esta guía describe cómo planificar, instalar y configurar un dominio seguro de Tivoli Access Manager. Utilizando una serie de scripts de fácil instalación, puede desplegar rápidamente un dominio seguro totalmente funcional. Estos scripts son muy útiles al crear un prototipo del despliegue de un dominio seguro.
Para acceder a esta guía en el centro de información de IBM Tivoli Access Manager for e-business, pulse Access Manager for e-business > Installation and upgrade information > Installation Guide.
- IBM Tivoli Access Manager for e-business
Administration Guide
Este documento presenta una visión general del modelo de seguridad de Tivoli Access Manager para gestionar recursos protegidos. Esta guía describe cómo configurar los servidores de Tivoli Access Manager que toman las decisiones del control de acceso. Además, en estas instrucciones detalladas encontrará cómo realizar importantes tareas como declarar políticas de seguridad, definir espacios de objetos protegidos y administrar perfiles de usuario y grupo.
Para acceder a esta guía en el centro de información de IBM Tivoli Access Manager for e-business, pulse Access Manager for e-business > Administration Information > Administration Guide.

La figura anterior es una arquitectura de ejemplo donde se muestran servidores WebSphere Application Server protegidos por Tivoli Access Manager.
Los servidores WebSphere Application Server participantes utilizan una réplica local de la base de datos de políticas de Tivoli Access Manager para tomar las decisiones de autorización de las solicitudes entrantes. Las bases de datos de políticas locales son duplicaciones de la base de datos maestra de políticas. La base de datos maestra de políticas está instalada como parte de la instalación de Tivoli Access Manager. Si se tienen réplicas de la base de datos de políticas en cada uno de los nodos de WebSphere Application Server participantes, se optimiza el rendimiento en la toma de decisiones de autorización y se proporciona la función de migración tras error.
Aunque el servidor de autorizaciones también se puede instalar en el mismo sistema que WebSphere Application Server, esta configuración no se muestra en el diagrama.
Todas las instancias de Tivoli Access Manager y WebSphere Application Server del ejemplo de arquitectura comparten el registro de usuarios LDAP (Lightweight Directory Access Protocol) en la Máquina E.
Los registros LDAP soportados por WebSphere Application Server también están soportados por Tivoli Access Manager.
![[IBM i]](../images/iseries.gif)