Fonctions de sécurité de Tivoli Access Manager pour WebSphere Application Server
WebSphere Application Server fournit la technologie du client IBM® Tivoli Access Manager intégré pour sécuriser les ressources gérées de WebSphere Application Server.
- Mécanisme d'autorisation par conteneur efficace
- Gestion des règles centralisées
- Gestion d'identités communes, de profils utilisateur et de mécanismes d'autorisation
- Gestion centralisée de la sécurité pour les ressources Java™ EE compatibles ou non avec Java EE (Java Platform Enterprise Edition) via la console d'administration de Tivoli Access Manager Web Portal Manager
- Pas de condition à respecter pour les modifications de code ou de déploiement apportées aux applications
- Gestion simplifiée des utilisateurs, des groupes et des rôles à l'aide de la console d'administration de WebSphere Application Server
WebSphere Application Server prend en charge la spécification JACC (Java Authorization Contract for Containers). Cette spécification définit un contrat entre les conteneurs Java EE et les fournisseurs d'autorisation. Ce contrat permet aux fournisseurs d'autorisations de prendre des décisions d'accès pour les ressources des serveurs d'applications Java EE, telles que WebSphere Application Server. L'utilitaire de sécurité de Tivoli Access Manager intégré à WebSphere Application Server est compatible avec la spécification JACC et est utilisé pour les opérations suivantes :
- Ajout des informations relatives aux règles de sécurité lors du déploiement d'applications
- Autorisation d'accès aux ressources sécurisées de WebSphere Application Server
Lorsque les applications sont déployées, le client Tivoli Access Manager intégré extrait les informations relatives aux règles, aux utilisateurs et aux rôles stockées dans le descripteur de déploiement de l'application ou utilisant des annotations et les stocke sur le serveur de règles Tivoli Access Manager.
Le fournisseur JACC de Tivoli Access Manager est également appelé lorsque l'utilisateur demande à accéder à une ressource gérée par WebSphere Application Server.

- Les utilisateurs qui accèdent aux ressources protégées sont authentifiés à l'aide du module de connexion de Tivoli Access Manager configuré pour fonctionner lorsque le client Tivoli Access Manager intégré est activé.
- Le conteneur WebSphere Application Server utilise les informations du descripteur de déploiement d'applications et les annotations Java EE pour identifier les membres d'un rôle requis.
- WebSphere Application Server utilise le client Tivoli Access Manager intégré pour demander une décision d'autorisation à partir du serveur d'autorisations de Tivoli Access Manager. Les autres informations de contexte éventuellement disponibles sont transmises au serveur d'autorisations. Ces informations incluent le nom de la cellule, le nom de l'application Java EE et le nom du module Java EE. Si la base de données des règles Tivoli Access Manager dispose de règles définies pour les informations de contexte, le serveur d'autorisations les utilise pour prendre la décision d'autorisation.
- Le serveur d'autorisations consulte les droits d'accès définis pour l'utilisateur indiqué au sein de l'espace d'objets protégé par Tivoli Access Manager. L'espace d'objets protégé fait partie de la base de données de règles.
- Le serveur d'autorisations de Tivoli Access Manager renvoie la décision d'accès au client Tivoli Access Manager imbriqué.
- WebSphere Application Server accorde ou refuse l'accès à la méthode ou à la ressource protégée en fonction de la décision renvoyée par le serveur d'autorisations de Tivoli Access Manager.
- IBM Tivoli Access Manager for e-business - Guide d'installation
Ce guide explique comment planifier, installer et configurer un domaine sécurisé Tivoli Access Manager. Une série de scripts d'installation simples permet de déployer rapidement un domaine sécurisé parfaitement opérationnel. Ces scripts sont utiles lorsque vous définissez le prototype du déploiement d'un domaine sécurisé.
Pour accéder à ce guide à partir du Centre de documentation d'IBM Tivoli Access Manager for e-business, cliquez sur IBM Tivoli Access Manager for e-business > Installation and upgrade information > Installation Guide.
- IBM Tivoli Access Manager for e-business - Guide
d'administration
Ce document présente le modèle de sécurité de Tivoli Access Manager pour la gestion des ressources protégées. Il explique comment configurer les serveurs Tivoli Access Manager qui prennent les décisions relatives au contrôle des accès. En outre, des instructions détaillées sont disponibles pour effectuer les tâches importantes, telles que la déclaration des règles de sécurité, la définition des espaces d'objets protégés et l'administration des profils d'utilisateur et de groupe.
Pour accéder à ce guide à partir du centre de documentation d'IBM Tivoli Access Manager for e-business, cliquez sur Access Manager for e-business >Administration Information > Administration Guide.

La figure ci-dessus est un exemple d'architecture présentant des systèmes WebSphere Application Server sécurisés par Tivoli Access Manager.
Les systèmes WebSphere Application Server concernés utilisent une réplique locale de la base de données de règles Tivoli Access Manager pour prendre des décisions d'autorisation pour les demandes entrantes. Les bases de données de règles locales sont des répliques de la base de données de règles maître. La base de données de règles maître est installée en même temps que Tivoli Access Manager. L'utilisation de répliques des bases de données de règles sur chaque noeud WebSphere Application Server concerné optimise les performances lors de la prise des décisions d'autorisation et fournit une fonction de reprise.
Bien que cette configuration ne soit pas représentée dans le diagramme, le serveur d'autorisations peut également être installé sur le même système que WebSphere Application Server.
Dans cet exemple d'architecture, toutes les instances de Tivoli Access Manager et de WebSphere Application Server partagent le registre d'utilisateurs LDAP (Lightweight Directory Access Protocol) du système E.
Les registres LDAP pris en charge par WebSphere Application Server sont également pris en charge par Tivoli Access Manager.
![[IBM i]](../images/iseries.gif)