Seguridad de Tivoli Access Manager para WebSphere Application Server

WebSphere Application Server ofrece la tecnología de cliente deIBM® Tivoli Access Manager incorporado para proteger los recursos gestionados de WebSphere Application Server.

Las ventajas de utilizar Tivoli Access Manager que se describen en este documento sólo son aplicables cuando se utiliza el código de cliente de Tivoli Access Manager con el servidor de Tivoli Access Manager:
  • Autorización robusta basada en contenedor
  • Gestión de política centralizada
  • Gestión de identidades comunes, perfiles de usuario y mecanismos de autorización
  • Gestión de seguridad de único punto para recursos Java™ EE compatibles y no compatibles conJava Platform, Enterprise Edition (Java EE) que utilizan la consola administrativa de Web Portal Manager deTivoli Access Manager
  • No se necesita codificación ni cambios de despliegue en las aplicaciones
  • Gestión sencilla de usuarios, grupos y roles mediante la consola administrativa de WebSphere Application Server

WebSphere Application Server da soporte a la especificación JACC (Java Authorization Contract for Containers). JACC detalla los requisitos de contrato de los contenedores Java EE y proveedores de autorización. Con este contrato, los proveedores de autorización pueden llevar a cabo decisiones de acceso para recursos en servidores de aplicaciones Java EE como WebSphere Application Server. El programa de utilidad de seguridad de Tivoli Access Manager incorporado con WebSphere Application Server es compatible con JACC y se utiliza para:

Cuando se despliegan las aplicaciones, el cliente incorporado de Tivoli Access Manager toma la información de usuario y rol y la información de política almacenada en el descriptor del despliegue de la aplicación o mediante anotaciones y la almacena en Tivoli Access Manager Policy Server.

El proveedor de JACC de Tivoli Access Manager también se llama cuando un usuario solicita acceso a un recurso gestionado por WebSphere Application Server.

Figura 1. Arquitectura de cliente de Tivoli Access Manager incorporadoLa figura ilustra la siguiente secuencia de sucesos
La figura anterior ilustra la siguiente secuencia de sucesos:
  1. Los usuarios que acceden a los recursos protegidos se autentican mediante el módulo de inicio de sesión de Tivoli Access Manager configurado para su uso cuando el cliente de Tivoli Access Manager incorporado esté habilitado.
  2. El contenedor de WebSphere Application Server utiliza información del descriptor de despliegue de aplicaciones Java EE y anotaciones para determinar la pertenencia a roles necesaria.
  3. WebSphere Application Server utiliza el cliente de Tivoli Access Manager incorporado para solicitar una decisión de autorización del servidor de autorizaciones de Tivoli Access Manager. De existir, se pasa al servidor de autorizaciones información de contexto adicional. Esta información de contexto se compone del nombre de la célula, el nombre de la aplicación Java EE y el nombre del módulo Java EE. Si la base de datos de políticas de Tivoli Access Manager tiene políticas especificadas para un tipo de información de contexto cualquiera, el servidor de autorizaciones utiliza esta información para tomar la decisión de autorización.
  4. El servidor de autorizaciones consulta los permisos definidos para el usuario especificado en el espacio de objeto protegido por Tivoli Access Manager. El espacio de objeto protegido forma parte de la base de datos de políticas.
  5. El servidor de autorizaciones de Tivoli Access Manager devuelve la decisión de acceso al cliente de Tivoli Access Manager incorporado.
  6. WebSphere Application Server otorga o deniega el acceso al método o recurso protegido en función de la decisión devuelta por el servidor de autorizaciones de Tivoli Access Manager.
Principalmente, Tivoli Access Manager proporciona una infraestructura de autenticación y autorización. Si desea obtener más información sobre Tivoli Access Manager, incluida la información necesaria para tomar decisiones de despliegue, revise la documentación del producto. Las guías siguientes están disponibles en el centro de información de IBM Tivoli Access Manager for e-business:
  • IBM Tivoli Access Manager for e-business Installation Guide

    Esta guía describe cómo planificar, instalar y configurar un dominio seguro de Tivoli Access Manager. Utilizando una serie de scripts de fácil instalación, puede desplegar rápidamente un dominio seguro totalmente funcional. Estos scripts son muy útiles al crear un prototipo del despliegue de un dominio seguro.

    Para acceder a esta guía en el centro de información de IBM Tivoli Access Manager for e-business, pulse Access Manager for e-business > Installation and upgrade information > Installation Guide.

  • IBM Tivoli Access Manager for e-business Administration Guide

    Este documento presenta una visión general del modelo de seguridad de Tivoli Access Manager para gestionar recursos protegidos. Esta guía describe cómo configurar los servidores de Tivoli Access Manager que toman las decisiones del control de acceso. Además, en estas instrucciones detalladas encontrará cómo realizar importantes tareas como declarar políticas de seguridad, definir espacios de objetos protegidos y administrar perfiles de usuario y grupo.

    Para acceder a esta guía en el centro de información de IBM Tivoli Access Manager for e-business, pulse Access Manager for e-business > Administration Information > Administration Guide.

Figura 2. Tivoli Access Manager proporciona administración centralizada de varios servidoresArquitectura de ejemplo que muestra WebSphere Application Servers protegidos por Tivoli Access Manager.

La figura anterior es una arquitectura de ejemplo donde se muestran servidores WebSphere Application Server protegidos por Tivoli Access Manager.

Los servidores WebSphere Application Server participantes utilizan una réplica local de la base de datos de políticas de Tivoli Access Manager para tomar las decisiones de autorización de las solicitudes entrantes. Las bases de datos de políticas locales son duplicaciones de la base de datos maestra de políticas. La base de datos maestra de políticas está instalada como parte de la instalación de Tivoli Access Manager. Si se tienen réplicas de la base de datos de políticas en cada uno de los nodos de WebSphere Application Server participantes, se optimiza el rendimiento en la toma de decisiones de autorización y se proporciona la función de migración tras error.

Aunque el servidor de autorizaciones también se puede instalar en el mismo sistema que WebSphere Application Server, esta configuración no se muestra en el diagrama.

Todas las instancias de Tivoli Access Manager y WebSphere Application Server del ejemplo de arquitectura comparten el registro de usuarios LDAP (Lightweight Directory Access Protocol) en la Máquina E.

Los registros LDAP soportados por WebSphere Application Server también están soportados por Tivoli Access Manager.

Se pueden tener perfiles de WebSphere Application Server independientes en el mismo host configurado para distintos servidores de Tivoli Access Manager. Este tipo de arquitectura necesita que los perfiles estén configurados para distintos Java SE Runtime Environments (JRE 6), por lo que es necesario instalar varios JRE en el mismo host.
[IBM i]Nota: Aunque todos los perfiles de WebSphere Application Server en el mismo host compartan un único JRE 6, se pueden configurar perfiles de WebSphere Application Server independientes en el mismo host para distintos servidores de Tivoli Access Manager.

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_TAM_security
File name: csec_TAM_security.html