Integración de Tivoli Access Manager como proveedor de JACC

Tivoli Access Manager utiliza el modelo JACC (Java™ Authorization Contract for Container) en WebSphere Application Server para realizar comprobaciones de acceso.

Tivoli Access está formado por los componentes siguientes:
  • Tiempo de ejecución
  • Configuración de cliente
  • Soporte de tabla de autorizaciones
  • Comprobación de acceso
  • Autenticación utilizando el módulo PDLoginModule

Para los cambios de tiempo de ejecución, Tivoli Access Manager implementa las interfaces PolicyConfigurationFactory y PolicyConfiguration, tal como requiere JACC. Durante la instalación de la aplicación, la información de políticas de seguridad del descriptor de despliegue y la información de la tabla de autorizaciones de los archivos de enlace se propagan al proveedor de Tivoli utilizando estas interfaces. El proveedor de Tivoli almacena la información de la tabla de autorizaciones y de políticas en el servidor de políticas de Tivoli Access Manager llamando a las API (interfaces de programas de aplicación) de Tivoli Access Manager correspondientes.

TivoliAccess Manager también implementa las interfaces RoleConfigurationFactory y RoleConfiguration. Estas interfaces se utilizan para garantizar que la información de la tabla de autorizaciones se pase al proveedor con la información de políticas. Consulte Interfaces que dan soporte a JACC para obtener más información sobre estas interfaces.

Para configurar el cliente de Tivoli Access Manager, puede utilizar la consola administrativa o los scripts de wsadmin. Puede acceder a los paneles de la consola administrativa para configurar el cliente de Tivoli Access Manager pulsando Seguridad > Seguridad global > Proveedores de autorización externos. En Elementos relacionados, pulse Proveedor de JACC externo. El cliente de Tivoli se debe configurar para que utilice el proveedor de JACC de Tivoli Access Manager.

Para obtener más información sobre cómo configurar el cliente de Tivoli Access Manager, consulte Configuración del proveedor JACC de Tivoli Access Manager.

Tivoli Access Manager utiliza la interfaz RoleConfiguration para garantizar que la información de la tabla de autorizaciones se pase al proveedor de Tivoli Access Manager cuando se instala o se despliega la aplicación. Cuando se despliega o se edita una aplicación, el conjunto de usuarios y grupos de la correlación de usuarios o grupos con roles se obtiene del servidor de Tivoli Access Manager, que comparte el mismo servidor LDAP (Lightweight Directory Access Protocol) que WebSphere Application Server. Este compartimiento se logra conectándose a los paneles de la consola administrativa de correlación de usuarios o grupos con roles de gestión de aplicaciones. Se llama a las API de gestión para obtener los usuarios y los grupos en lugar de basarse en el registro LDAP configurado por WebSphere Application Server.

La correlación de usuarios o grupos con roles se encuentra a nivel de aplicación, no a nivel de nodo.

Cuando WebSphere Application Server se configura para utilizar el proveedor de JACC de Tivoli Access Manager, pasa la información a Tivoli Access Manager para tomar la decisión de acceso. La implementación de políticas de Tivoli Access Manager consulta la réplica local de la base de datos de listas de control de acceso (ACL) para tomar la decisión de acceso.

El módulo de inicio de sesión personalizado en WebSphere Application Server puede realizar la autenticación. Este módulo de inicio de sesión se conecta antes que el WebSphere Application Server proporcionado por los módulos de inicio de sesión. Los módulos de inicio de sesión personalizado pueden proporcionar información que se puede almacenar en el sujeto. Si se almacena la información necesaria, no se realizan llamadas de registro adicionales para obtener esa información.

Como parte de la integración JACC, el módulo PDLongiModule proporcionado por Tivoli Access Manager también se utiliza para conectarse a WebSphere Application Server para la autenticación LTPA (Lightweight Third Party Authentication), Kerberos (KRB5) y SWAM (Simple WebSphere Authentication Mechanism). El módulo PDLoginModule se modifica para autenticarse con el ID de usuario o la contraseña. El módulo también se utiliza para rellenar los atributos necesarios en el sujeto, de forma que los módulos de inicio de sesión en WebSphere Application Server no realicen llamadas de registro. La información que se coloca en el sujeto está disponible para que el objeto de política de Tivoli Access Manager la utilice en la comprobación de acceso.
Nota: SWAM es una característica en desuso del WebSphere Application Server Versión 9.0 y se eliminará en un release posterior.
Nota: Al utiliza el mecanismo de autenticación Kerberos y Tivoli Access Manager, el módulo loginModule de Tivoli Access Manager crea PDPrincipal sin pasar primero por el proceso de autenticación de Tivoli Access Manager. También, al utilizar el mecanismo de autenticación Kerberos y Tivoli Access Manager, la política de Tivoli Access Manager no se aplica en WebSphere Application Server Versión 7.0.

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_jaccintegrate
File name: csec_jaccintegrate.html