Integración de Tivoli Access Manager como proveedor de JACC
Tivoli Access Manager utiliza el modelo JACC (Java™ Authorization Contract for Container) en WebSphere Application Server para realizar comprobaciones de acceso.
- Tiempo de ejecución
- Configuración de cliente
- Soporte de tabla de autorizaciones
- Comprobación de acceso
- Autenticación utilizando el módulo PDLoginModule
Para los cambios de tiempo de ejecución, Tivoli Access Manager implementa las interfaces PolicyConfigurationFactory y PolicyConfiguration, tal como requiere JACC. Durante la instalación de la aplicación, la información de políticas de seguridad del descriptor de despliegue y la información de la tabla de autorizaciones de los archivos de enlace se propagan al proveedor de Tivoli utilizando estas interfaces. El proveedor de Tivoli almacena la información de la tabla de autorizaciones y de políticas en el servidor de políticas de Tivoli Access Manager llamando a las API (interfaces de programas de aplicación) de Tivoli Access Manager correspondientes.
TivoliAccess Manager también implementa las interfaces RoleConfigurationFactory y RoleConfiguration. Estas interfaces se utilizan para garantizar que la información de la tabla de autorizaciones se pase al proveedor con la información de políticas. Consulte Interfaces que dan soporte a JACC para obtener más información sobre estas interfaces.
Para configurar el cliente de Tivoli Access Manager, puede utilizar la consola administrativa o los scripts de wsadmin. Puede acceder a los paneles de la consola administrativa para configurar el cliente de Tivoli Access Manager pulsando Seguridad > Seguridad global > Proveedores de autorización externos. En Elementos relacionados, pulse Proveedor de JACC externo. El cliente de Tivoli se debe configurar para que utilice el proveedor de JACC de Tivoli Access Manager.
Para obtener más información sobre cómo configurar el cliente de Tivoli Access Manager, consulte Configuración del proveedor JACC de Tivoli Access Manager.
Tivoli Access Manager utiliza la interfaz RoleConfiguration para garantizar que la información de la tabla de autorizaciones se pase al proveedor de Tivoli Access Manager cuando se instala o se despliega la aplicación. Cuando se despliega o se edita una aplicación, el conjunto de usuarios y grupos de la correlación de usuarios o grupos con roles se obtiene del servidor de Tivoli Access Manager, que comparte el mismo servidor LDAP (Lightweight Directory Access Protocol) que WebSphere Application Server. Este compartimiento se logra conectándose a los paneles de la consola administrativa de correlación de usuarios o grupos con roles de gestión de aplicaciones. Se llama a las API de gestión para obtener los usuarios y los grupos en lugar de basarse en el registro LDAP configurado por WebSphere Application Server.
La correlación de usuarios o grupos con roles se encuentra a nivel de aplicación, no a nivel de nodo.
Cuando WebSphere Application Server se configura para utilizar el proveedor de JACC de Tivoli Access Manager, pasa la información a Tivoli Access Manager para tomar la decisión de acceso. La implementación de políticas de Tivoli Access Manager consulta la réplica local de la base de datos de listas de control de acceso (ACL) para tomar la decisión de acceso.
El módulo de inicio de sesión personalizado en WebSphere Application Server puede realizar la autenticación. Este módulo de inicio de sesión se conecta antes que el WebSphere Application Server proporcionado por los módulos de inicio de sesión. Los módulos de inicio de sesión personalizado pueden proporcionar información que se puede almacenar en el sujeto. Si se almacena la información necesaria, no se realizan llamadas de registro adicionales para obtener esa información.