Délégations

La délégation correspond à la transmission de l'identité de sécurité d'un processus entre un appelant et un objet appelé. Selon la spécification Java™ EE (Java Platform, Enterprise Edition), un servlet et des beans enterprise peuvent transmettre l'identité du client ou de l'utilisateur éloigné lors de l'appel de beans enterprise, ou utiliser une autre identité indiquée dans le descripteur de déploiement correspondant.

L'extension prend en charge la propagation des beans enterprise vers l'ID serveur lors de l'appel d'autres beans entity. Trois types de délégation sont possibles :
  • Délégation (RunAs) de l'identité client
  • Délégation (RunAs) de l'identité spécifiée
  • Délégation (RunAs) de l'identité système
Délégation de l'identité client (RunAs)
Délégation de l'identité spécifiée (RunAs)
Délégation de l'identité système (RunAs)
Remarque : La délégation de l'identité du système RunAs fonctionne uniquement lorsque l'ID et le mot de passe du serveur sont utilisés. Ce n'est pas le cas lorsque la fonction internalServerId est utilisée car celle-ci ne prend pas en charge l'identité du système. Vous devez spécifier des rôles RunAs. Dans ce cas de figure, utilisez RunAsSpecified avec un ID utilisateur et un mot de passe mappés vers le rôle administrateur. Pour plus d'informations sur la fonction internalServerId, voir Rôles d'administration et autorisation du service de nommage.

La spécification EJB prend en charge uniquement la délégation (RunAs) au niveau des EJB (Enterprise JavaBeans). Toutefois, une extension permet d'appliquer la spécification RunAs au niveau de la méthode EJB. Avec une niveau méthode EJB, la spécification RunAs peut définir un rôle RunAs différent pour plusieurs méthodes au sein des mêmes beans enterprise.

La spécification RunAs est détaillée dans le descripteur de déploiement, qui correspond au fichier ejb-jar.xml dans le module EJB et web.xml dans le module Web. L'extension de la spécification RunAs est incluse dans le fichier ibm-ejb-jar-ext.xml.

Un fichier de liaison spécifique à IBM est également disponible pour chaque application. Il contient un mappage entre le rôle RunAs et l'utilisateur. Ce fichier est désigné dans le fichier ibm-application-bnd.xml.

Ces spécifications sont lues par le module d'exécution lors du lancement de l'application. La figure suivante décrit le mécanisme de délégation, tel qu'il est implémenté dans le modèle de sécurité de WebSphere Application Server.
La figure suivante décrit le mécanisme de délégation, tel qu'il est implémenté dans le modèle de sécurité de WebSphere Application Server.

Processus de délégation

Deux tables s'avèrent utiles lors du processus de délégation :
  • Table de mappage des ressources vers les rôles RunAs
  • Table de mappage du rôle RunAs vers l'ID utilisateur et le mot de passe

Utilisez la table de mappage des ressources vers les rôles RunAs afin d'extraire le rôle utilisé par le servlet ou par les beans enterprise pour transmettre les données à l'appel du bean enterprise suivant.

Utilisez la table de mappage du rôle RunAs vers l'ID utilisateur et le mot de passe pour extraire l'ID utilisateur associé au rôle RunAs et le mot de passe associé.

La délégation a lieu après l'authentification et l'autorisation. Lors de ce processus, le module de délégation consulte la table de mappage des ressources vers le rôle RunAs pour extraire le rôle RunAs (3). Le module de délégation consulte la table de mappage du rôle RunAs vers l'ID utilisateur et le mot de passe pour extraire l'utilisateur appartenant au rôle RunAs(4). L'ID utilisateur et le mot de passe permettent de créer des justificatifs à l'aide du module d'authentification, qui n'est pas illustré dans la figure.

[AIX Solaris HP-UX Linux Windows][IBM i]Le justificatif ainsi généré est stocké dans l'ORB Current en tant que justificatif d'appel (5). Lors de l'appel d'autres beans enterprise, le servlet et les beans enterprise extraient les justificatifs d'appel à partir de l'ORB Current (6) et appellent les beans enterprise suivants (7).


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_deleg
Nom du fichier : csec_deleg.html