JACC 제공자로 Tivoli Access Manager 통합

Tivoli® Access Manager는 JACC(Java™ Authorization Contract for Container) 모델을 WebSphere® Application Server에서 사용하여 액세스 검사를 수행합니다.

Tivoli Access Manager는 다음 컴포넌트로 구성됩니다.
  • 런타임
  • 클라이언트 구성
  • 권한 부여 테이블 지원
  • 액세스 검사
  • PDLoginModule 모듈을 사용하는 인증

런타임 변경의 경우, Tivoli Access Manager는 JACC의 필요에 따라 PolicyConfigurationFactory 및 PolicyConfiguration 인터페이스를 구현합니다. 애플리케이션 설치 중에 바인딩 파일의 배치 디스크립터 및 권한 부여 테이블 정보의 보안 정책 정보가 이 인터페이스를 사용하여 Tivoli 제공자로 전파됩니다. Tivoli 제공자는 각각 Tivoli Access Manager API(Application Programming Interface)를 호출하여 Tivoli Access Manager 정책 서버에 정책 및 권한 부여 테이블 정보를 저장합니다.

Tivoli Access Manager는 RoleConfigurationFactory 및 RoleConfiguration 인터페이스도 구현합니다. 이 인터페이스는 권한 부여 테이블 정보가 정책 정보와 같이 제공자에게 전달되도록 하는 데 사용됩니다. 이 인터페이스에 대한 자세한 정보는 JACC를 지원하는 인터페이스의 내용을 참조하십시오.

Tivoli Access Manager 클라이언트를 구성하기 위해 관리 콘솔 또는 wsadmin 스크립트를 사용할 수 있습니다. 보안 > 글로벌 보안 > 외부 권한 부여 제공자를 클릭하여 Tivoli Access Manager 클라이언트의 관리 콘솔 패널에 액세스할 수 있습니다. 관련 항목에서 외부 JACC 제공자를 클릭하십시오. Tivoli 클라이언트는 Tivoli Access Manager JACC 제공자를 사용하도록 설정되어야 합니다.

Tivoli Access Manager 클라이언트 구성 방법에 대한 자세한 정보는 Tivoli Access Manager JACC 제공자 구성의 내용을 참조하십시오.

Tivoli Access Manager는 애플리케이션이 설치 또는 배치될 때 RoleConfiguration 인터페이스를 사용하여 권한 부여 테이블 정보가 Tivoli Access Manager 제공자에 전달되도록 합니다. 애플리케이션이 배치 또는 편집되는 경우, 사용자 또는 group-to-role 맵핑에 대한 사용자 및 그룹 세트는 WebSphere Application Server와 LDAP(Lightweight Directory Access Protocol)을 공유하는 Tivoli Access Manager 서버에서 확보합니다. 이 공유는 애플리케이션 관리 사용자 또는 groups-to-role 관리 콘솔 패널에 플러그인하여 설정합니다. 관리 API는 WebSphere Application Server 구성 LDAP 레지스트리를 사용하기 보다는 사용자 및 그룹을 확보하기 위해 호출됩니다.

사용자 또는 group-to-role 맵핑은 노드 레벨이 아니라 애플리케이션 레벨입니다.

WebSphere Application Server가 Tivoli Access Manager에 대해 JACC 제공자를 사용하도록 구성되는 경우, 정보를 Tivoli Access Manager에 전달하여 액세스 의사결정을 내립니다. Tivoli Access Manager 정책 구현은 액세스 의사결정을 위해 액세스 제어 목록(ACL) 데이터베이스의 로컬 복제본을 조회합니다.

WebSphere Application Server의 사용자 정의 로그인 모듈은 인증을 수행할 수 있습니다. 이 로그인 모듈은 WebSphere Application Server 제공 로그인 모듈 전에 플러그인됩니다. 사용자 정의 로그인 모듈은 주제(Subject)에 저장 가능한 정보를 제공할 수 있습니다. 필요한 정보가 저장되면 해당 정보 확보를 위해 추가 레지스트리 호출이 작성되지 않습니다.

JACC 통합 중에 Tivoli Access Manager 제공 PDLoginModule 모듈도 WebSphere Application Server for LTPA(Lightweight Third Party Authentication), Kerberos(KRB5), SWAM(Simple WebSphere Authentication Mechanism) 인증 플러그인에 사용됩니다. PDLoginModule 모듈은 사용자 ID 및 비밀번호로 인증되도록 수정됩니다. 모듈은 WebSphere Application Server의 로그인 모듈로 레지스트리 호출이 작성되지 않도록 주제(Subject)에 필요한 속성을 채우는 데도 사용됩니다. 주제(Subject)에 배치되는 정보는 액세스 검사에 사용되는 Tivoli Access Manager 정책 오브젝트에 사용할 수 있습니다.
참고: SWAM은 WebSphere Application Server 버전 9.0에서는 더 이상 사용되지 않고 이후 릴리스에서 제거될 것입니다.
참고: Kerberos 인증 메커니즘 및 Tivoli Access Manager, TAM loginModule은 먼저 Tivoli Access Manager 인증 프로세스를 통하지 않고 PDPrincipal을 작성합니다. 또한, Kerberos 인증 메커니즘 및 Tivoli Access Manager를 사용하는 경우 Tivoli Access Manager 정책이 WebSphere Application Server 버전 7.0부터는 강제 적용되지 않습니다.

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_jaccintegrate
파일 이름:csec_jaccintegrate.html