임베디드 Tivoli Access Manager가 포함된 역할 기반 보안
Java™ Platform, Enterprise Edition(Java EE) 역할 기반 권한 모델은 역할 및 자원 개념을 사용합니다. 예제가 여기에서 제공됩니다.
역할 | getBalance | deposit | closeAccount |
---|---|---|---|
창구 직원 | 부여 | 부여 | |
캐시어 | 부여 | ||
감독자 | 부여 |
이전 테이블에서 개념화하는 금융 애플리케이션의 예에서 세 개의 역할인 창구 직원, 캐시어, 감독자가 정의됩니다. getBalance, deposit, closeAccount 애플리케이션 메소드 수행 권한이 이 역할에 맵핑됩니다. 예에서 감독자 역할에 지정된 사용자가 closeAccount 메소드를 실행할 수 있고 다른 두 역할은 이 메소드를 실행할 수 없는 것을 알게 됩니다.
WebSphere® Application Sever 보안 내에서 용어 프린시펄은 활동을 수행하는 프로세스 또는 개인을 나타냅니다. 그룹은 WebSphere Application Server에서 보안 적용의 용이성을 승격하기 위해 구성되는 프린시펄의 논리적 콜렉션입니다. 역할은 프린시펄, 그룹 또는 둘 다에 맵핑 가능합니다.
프린시펄/그룹 | 창구 직원 | 캐시어 | 감독자 |
---|---|---|---|
TellerGroup | 호출 | ||
CashierGroup | 호출 | ||
SupervisorGroup | |||
Frank: 이전 그룹의 멤버가 아닌 프린시펄 | 호출 | 호출 |
애플리케이션 배치 시에, 애플리케이션 배치 디스크립터 또는 어노테이션에 포함된 모든 보안 정책 정보가 포함된 Tivoli Access Manager 보호 오브젝트 공간을 Tivoli Access Manager의 JACC(Java Authorization Contract for Container) 제공자가 채웁니다. 이 보안 정보는 WebSphere Application Server 자원이 요청될 때마다 액세스를 판별하기 위해 사용됩니다.
기본적으로 Tivoli Access Manager 액세스 검사는 역할 이름, 셀 이름, 애플리케이션 이름, 모듈 이름을 사용하여 수행됩니다.
Tivoli Access Manager 액세스 제어 목록(ACL)은 프린시펄에 지정된 애플리케이션 역할을 판별합니다. ACL은 애플리케이션 배치 시에 Tivoli Access Manager 보호 오브젝트 공간의 애플리케이션에 첨부됩니다.
프린시펄 대 역할 맵핑은 WebSphere Application Server 관리 콘솔에서 관리되며 Tivoli Access Manager를 사용하여 수정되지 않습니다. ACL에 대한 직접 업데이트는 관리 보안 사용자에 대해서만 수행됩니다.
- 애플리케이션 배치 중에 정책 정보가 Tivoli Access Manager의 JACC 제공자에게 전송됩니다. 이 정책 정보에는 권한 대 역할 맵핑 및 역할 대 프린시펄과 역할 대 그룹 맵핑 정보가 포함됩니다.
- Tivoli Access Manager의 JACC 제공자는 정보를 필수 형식으로 변환하고 이 정보를 Tivoli Access Manager 정책 서버에 전달합니다.
- 정책 서버는 항목을 Tivoli Access Manager 보호 오브젝트 공간에 추가하여 애플리케이션에 대해 정의된 역할 및 권한 대 역할 맵핑을 표시합니다. 권한은 Tivoli Access Manager 보호 오브젝트로 표시되고 이 오브젝트에 부여된 역할은 확장 속성으로 첨부됩니다.