Déploiement d'applications sécurisées

Le déploiement d'applications possédant des contraintes de sécurité (applications sécurisées) est similaire à celui des applications qui n'en ont pas. La seule différence est que vous devrez peut-être affecter des utilisateurs et des groupes à des rôles pour obtenir une application sécurisée. L'application sécurisée requiert de disposer du registre d'utilisateurs actif correct.

Avant de commencer

Avant d'effectuer cette tâche, assurez-vous que vous avez déjà conçu, développé et assemblé une application avec toutes les configurations de sécurité appropriées. Pour plus d'informations sur ces tâches, voir Développement d'applications utilisant la sécurité par programmation et Sécurisation des applications pendant l'assemblage et le déploiement. Dans ce contexte, le déploiement et l'installation d'une application représente une seule et même tâche.
Pour déployer une application nouvellement sécurisée, cliquez sur Applications > Installation d'une nouvelle application et suivez les instructions qui s'affichent. L'une des étapes consiste à affecter des utilisateurs et des groupes à des rôles définis dans l'application.
  • Si vous installez une application sécurisée, les rôles seront définis dans l'application.
  • Si l'application requiert une délégation, vous définirez également des rôles RunAs.

Lors de l'installation d'une nouvelle application, la définition des rôles s'effectue à l'étape de mappage des rôles de sécurité aux utilisateurs et aux groupes. Si cette affectation a déjà été réalisée à l'aide d'un outil d'assemblage, vous pouvez quand même confirmer le mappage en effectuant cette étape d'installation. Vous pouvez ajouter des utilisateurs et des groupes et modifier les informations lors de cette étape.

Si l'application prend en charge la délégation, un rôle RunAs y sera déjà défini. Si une Identité indiquée est définie comme règle de délégation lors de l'assemblage, l'intermédiaire appelle une méthode en utilisant une identité configurée lors du déploiement. Utilisez le rôle RunAs pour définir l'identité sous laquelle les appels en aval sont effectués. Par exemple, si le rôle RunAs est attribué à l'utilisateur jean et si le client alice appelle un servlet qui dispose d'une délégation appelant les beans enterprise, la méthode des beans enterprise est appelée avec l'identité jean.

L'une des étapes du processus d'installation et de déploiement consiste à mapper ou modifier des utilisateurs pour les rôles RunAs. Elle permet d'affecter à de nouveaux utilisateurs ou à des utilisateurs déjà définis des rôles RunAs lorsque la règle de délégation établie est Identité spécifiée.

Important : Quand Tivoli Access Manager (TAM) est activé, le déploiement et l'annulation de déploiement d'applications peut prendre beaucoup de temps, voir même aller au-delà du délai d'attente. La désactivation ATCCache peut résoudre ce problème. ATCCache a été conçu pour améliorer les performances lors du déploiement et de l'annulation de déploiement de l'application. Avec certaines applications, en particulier celles qui comportent de nombreux modules, la mémoire cache peut avoir une incidence négative sur les performances dans ces domaines. Pour désactiver le cache ATCCache, accédez au répertoire config/cells/nom_cellule et modifiez le fichier amwas.amjacc.template.properties pour définir com.tivoli.pd.as.atcc.ATCCache.enabled=false. Comme le TAM intégré est déjà configuré, mettez à jour cette propriété dans les fichiers de configuration. Pour chaque instance de cellule, accédez au répertoire profiles/<nom_profil>/etc/tam amjacc.properties pour définir com.tivoli.pd.as.atcc.ATCCache.enabled=false. La cellule doit être redémarrée pour que ces modifications soient prises en compte.

Pourquoi et quand exécuter cette tâche

Les étapes de la procédure sont identiques, que vous installiez une application ou que vous en modifiez une.

Pour installer et déployer l'application, procédez comme suit.

Procédure

  1. Cliquez sur Applications > Installation d'une nouvelle application. Effectuez les étapes requises jusqu'à l'étape de mappage des rôles de sécurité aux utilisateurs et aux groupes.
  2. [AIX Solaris HP-UX Linux Windows][IBM i]Si l'application contient des rôles, affectez-leur des utilisateurs et des groupes. A ce stade de l'installation, dans Propriétés supplémentaires, cliquez sur Mapper des rôles de sécurité vers les utilisateurs ou groupes. Pour plus d'informations, voir Affectation d'utilisateurs et de groupes à des rôles.
  3. Si l'application comporte des rôles RunAs, affectez des utilisateurs à ces rôles. A ce stade de l'installation, dans Propriétés supplémentaires, cliquez sur Mapper les rôles d'exécution (RunAs) vers les utilisateurs. Pour plus d'informations, voir Affectation d'utilisateurs à des rôles d'exécution RunAs.
  4. Facultatif : Cliquez sur Utilisation correcte de l'identité système pour définir les rôles RunAs, si nécessaire. Effectuez cette opération si l'application dispose d'une délégation pour utiliser l'identité système, applicable uniquement aux beans enterprise. L'identité système utilise l'ID du serveur de sécurité WebSphere Application Server pour appeler les méthodes en aval. L'utilisation de l'identité système n'est pas recommandée car elle possède davantage de droits que d'autres identités pour accéder au méthodes internes de WebSphere Application Server. Cette tâche a été conçue pour corriger les méthodes ou pour s'assurer que le responsable de déploiement est conscient que les méthodes répertoriées dans le panneau ont leur ID système configuré pour une délégation. Lorsque la fonction internalServerId est utilisée, l'exécution runAs avec une identité système n'est pas prise en charge ; vous devez définir des rôles RunAs dans ce cas.
  5. Exécutez les étapes restantes, non liées à la sécurité, pour finir d'installer et de déployer l'application.

Que faire ensuite

Une fois qu'une application est déployée, vérifiez que vous pouvez accéder aux ressources de l'application avec les justificatifs appropriés. Par exemple, si l'application possède un module Web protégé, veillez à ce que seuls les utilisateurs que vous avez affecté à des rôles puissent utiliser l'application.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sdeplap
Nom du fichier : tsec_sdeplap.html