Seguridad basada en roles con Tivoli Access Manager incorporado
El modelo de autorizaciones basado en roles de Java™ Platform, Enterprise Edition (Java EE) utiliza conceptos de roles y recursos. A continuación se ofrece un ejemplo.
Roles | getBalance | deposit | closeAccount |
---|---|---|---|
Empleado de banco | otorgado | otorgado | |
Cajero | otorgado | ||
Supervisor | otorgado |
En el ejemplo de la aplicación bancaria conceptualizada en la tabla anterior, se definen tres roles: empleado de banco, cajero y supervisor. Los permisos para llevar a cabo los métodos de aplicación getBalance, deposit y closeAccount, se correlacionan con estos roles. En el ejemplo, puede ver que los usuarios a los que se ha asignado el rol Supervisor pueden ejecutar el método closeAccount, mientras que los otros dos roles no pueden ejecutar este método.
El término principal dentro de la seguridad de WebSphere Application Server hace referencia a una persona o un proceso que lleva a cabo actividades. Los grupos son conjuntos lógicos de principales configurados en WebSphere Application Server para contribuir a la seguridad de aplicación. Los roles se pueden correlacionar con principales, grupos o con ambos.
Principal/Grupo | Empleado de banco | Cajero | Supervisor |
---|---|---|---|
Grupo de empleados de banco | Invoke | ||
Grupo de cajeros | Invoke | ||
Grupo de supervisores | |||
Frank: Un principal que no es miembro de ninguno de los grupos anteriores | Invoke | Invoke |
En el momento del despliegue de la aplicación, el proveedor de JACC (Java Authorization Contract for Container) de Tivoli Access Manager rellena el espacio de objeto protegido de Tivoli Access Manager con una información de políticas de seguridad contenida en el descriptor de despliegue de la aplicación y/o anotaciones. Esta información de seguridad se utiliza para determinar el acceso siempre que se solicita el recurso de WebSphere Application Server.
De forma predeterminada, la verificación de acceso de Tivoli Access Manager se realiza utilizando el nombre de rol, el nombre de célula, el nombre de aplicación y el nombre del módulo.
Las ACL (listas de control de acceso) de Tivoli Access Manager determinan los roles de aplicación que se han asignado a un principal. Las ACL se asignan a las aplicaciones en el espacio de objeto protegido de Tivoli Access Manager en el momento del despliegue de la aplicación.
Las correlaciones de principales con roles se gestionan desde la consola administrativa de WebSphere Application Server y nunca se modifican utilizando Tivoli Access Manager. Las actualizaciones directas de las ACL se realizan sólo para usuarios de seguridad administrativa.
- Durante el despliegue de la aplicación, se envía información de políticas al proveedor de JACC de Tivoli Access Manager. Esta información de políticas contiene correlaciones de permisos con roles, e información de correlaciones de roles con principales y roles con grupos.
- El proveedor de JACC de Tivoli Access Manager convierte la información en el formato necesario, y pasa esta información al servidor de políticas de Tivoli Access Manager.
- El servidor de políticas añade entradas al espacio de objeto protegido de Tivoli Access Manager para representar los roles definidos para la aplicación y las correlaciones de permisos con roles. Un permiso se representa como un objeto protegido de Tivoli Access Manager, y el rol otorgado a este objeto se asigna como un atributo ampliado.