Intégration de Tivoli Access Manager en tant que fournisseur JACC

Tivoli Access Manager utilise le modèle JACC (Java™ Authorization Contract for Container) dans WebSphere Application Server pour effectuer les vérifications d'accès.

Tivoli Access Manager est constitué des composants suivants :
  • Environnement d'exécution
  • Configuration du client
  • Support de la table des autorisations
  • Vérification des accès
  • Authentification à l'aide du module de connexion PDLoginModule

Pour les modifications de l'environnement d'exécution, Tivoli Access Manager implémente les interfaces PolicyConfigurationFactory et PolicyConfiguration, conformément à la spécification JACC. Lors de l'installation de l'application, les informations relatives aux règles de sécurité stockées dans le descripteur de déploiement et les données de la table d'autorisations disponibles dans les fichiers de liaisons sont transmises au fournisseur Tivoli à l'aide de ces interfaces. Le fournisseur Tivoli stocke les informations relatives aux règles et à la table d'autorisations sur le serveur de règles de Tivoli Access Manager en appelant les API Tivoli Access Manager correspondantes.

Tivoli Access Manager implémente également les interfaces RoleConfigurationFactory et RoleConfiguration. Ces interfaces sont utilisées pour vérifier que les informations de la table d'autorisations sont transmises au fournisseur avec les informations relatives aux règles. Pour plus d'informations sur ces interfaces, voir Interfaces utilisées pour prendre en charge JACC.

Le client Tivoli Access Manager peut être configuré à l'aide de la console d'administration ou de l'outil de scriptage wsadmin. Vous pouvez accéder aux panneaux de la console d'administration de la configuration client Tivoli Access Manager en cliquant sur Sécurité > Sécurité globale > Fournisseurs d'autorisation externes. Dans le menu Eléments connexes, sélectionnez Fournisseur JACC externe. Vous devez configurer le client Tivoli pour qu'il utilise le fournisseur JACC de Tivoli Access Manager.

Pour plus d'informations sur la configuration du client Tivoli Access Manager, voir Configuration du fournisseur JACC de Tivoli Access Manager.

Tivoli Access Manager utilise l'interface RoleConfiguration pour vérifier que les informations relatives à la table d'autorisations sont transmises au fournisseur Tivoli Access Manager lorsque l'application est installée ou déployée. Lorsqu'une application est déployée ou modifiée, l'ensemble d'utilisateurs et de groupes utilisé pour le mappage entre les utilisateurs/groupes et les rôles est obtenu à partir du serveur Tivoli Access Manager, qui partage le même protocole LDAP (Lightweight Directory Access Protocol) que WebSphere Application Server. Ce partage est effectué en se connectant aux panneaux de la console d'administration relatifs aux utilisateurs ou aux groupes associés aux rôles. Les API de gestion sont appelées pour obtenir les utilisateurs et les groupes au lieu de faire appel au registre LDAP configuré par WebSphere Application Server.

Le mappage entre les utilisateurs/groupes et les rôles est effectué au niveau de l'application, pas au niveau du noeud.

Lorsque WebSphere Application Server est configuré pour utiliser le fournisseur JACC de Tivoli Access Manager, il transmet les informations à Tivoli Access Manager pour prendre la décision d'accès. L'implémentation des règles de Tivoli Access Manager interroge les répliques locales de la base de données des listes de contrôles des accès (ACL) pour la décision d'accès.

Le module de connexion personnalisé de WebSphere Application Server peut effectuer l'authentification. Ce module de connexion est intégré avant les modules de connexion fournis par WebSphere Application Server. Les modules de connexion personnalisés peuvent fournir des informations susceptibles d'être stockées dans le sujet. Si les informations requises sont stockées, l'appel de registre supplémentaire n'est effectué pour obtenir ces informations.

Lors de l'intégration JACC, le module de connexion PDLoginModule fourni par Tivoli Access Manager est également utilisé pour s'intégrer à WebSphere Application Server pour l'authentification LTPA (Lightweight Third Party Authentication), Kerberos (KRB5) et SWAM (Simple WebSphere Authentication Mechanism). Le module de connexion PDLoginModule est modifié pour effectuer une authentification avec l'ID utilisateur ou le mot de passe. Le module est également utilisé pour indiquer les attributs nécessaires dans le sujet afin qu'aucun appel du registre ne soit effectué par les modules de connexion de WebSphere Application Server. Les informations stockées dans le sujet sont disponibles pour que l'objet règles de Tivoli Access Manager effectue la vérification d'accès.
Remarque : SWAM est obsolète dans WebSphere Application Server Version 9.0 et sera supprimée dans la prochaine version.
Remarque : Lorsque vous utilisez le mécanisme d'authentification Kerberos et Tivoli Access Manager, le module TAM loginModule crée PDPrincipal sans passer par le processus d'authentification de Tivoli Access Manager. De plus, la règle Tivoli Access Manager n'est pas appliquée à partir de la version 7.0 de WebSphere Application Server dans ce cas.

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_jaccintegrate
Nom du fichier : csec_jaccintegrate.html