Associações Confiáveis
Uma Associação Confiável permite a integração de segurança do IBM® WebSphere Application Server e servidores de segurança de terceiros. Mais especificamente, um servidor proxy reverso pode atuar como um servidor de autenticação de front-end enquanto o produto aplica sua própria política de autorização nas credenciais resultantes transmitidas pelo servidor proxy.
A demanda para uma configuração integrada desse tipo se tornou mais necessária, especialmente quando um único produto não consegue atender a todas as necessidades do cliente ou quando a migração não é uma solução viável.
Nessa configuração, o WebSphere Application Server é usado como um servidor de backend para explorar ainda mais o seu controle de acesso de baixa granularidade. O servidor proxy reverso transmite a solicitação de HTTP para o WebSphere Application Server o que inclui as credenciais do usuário autenticado. O WebSphere Application Server usa então essas credenciais para autorizar a solicitação.
Modelo de Associação de Confiança
A ideia de que o WebSphere Application Server pode suportar a associação confiável implica que a segurança do aplicativo do produto reconhece e processa solicitações de HTTP que são recebidas de um servidor de proxy reverso. O WebSphere Application Server e o servidor de proxy são aplicados em um contrato no qual o produto fornece sua confiança total ao servidor proxy e o servidor proxy aplica suas políticas de autenticação em cada solicitação da Web que é despachada para o WebSphere Application Server. Essa confiança é validada pelos interceptadores que residem no ambiente do produto para todos os pedidos recebidos. O método de validação é concordado pelo servidor proxy e o interceptador.
A execução em modo de associação confiável não proíbe o WebSphere Application Server de aceitar solicitações que não tenham sido transmitidas ao servidor proxy. Neste caso, nenhum interceptador é necessário para validar a confiança.
- com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus
- Essa implementação do interceptador TAI que implementa a nova interface do WebSphere Application Server suporta o WebSphere Application Server Versão 5.1.1
e posterior. A interface suporta o WebSEAL Versão 5.1, mas não suporta o WebSEAL Versão
4.1. Para obter uma explicação da propagação do atributo de segurança, consulte Propagação de Atributo de Segurança.
Nota: A implementação do interceptor TAI suporta também o WebSphere Application Server Versão 5.1.0.2 para z/OS.
- com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl
- Esse interceptor é novo neste release. SPNEGO substituiu o SPNEGO TAI como o autenticador da Web para WebSphere Application Server.

IBM WebSphere Application Server: WebSEAL Integration
A integração de WebSEAL e a segurança do WebSphere Application Server são obtidas colocando-se o servidor WebSEAL no front-end como um servidor proxy reverso. A partir de uma perspectiva de gerenciamento do WebSEAL, uma junção é criada com o WebSEAL em uma extremidade e o servidor da Web do produto na outra extremidade. Uma junção é uma conexão lógica criada para estabelecer um caminho do servidor WebSEAL para outro servidor.
Nessa configuração, uma solicitação para recursos da Web que são armazenados em um domínio protegido do produto é enviada ao servidor WebSEAL em que ele é autenticado com relação à região de segurança do WebSEAL. Se o usuário solicitante tiver acesso à junção, a solicitação será transmitida para o servidor HTTP do WebSphere Application Server por meio da junção e, em seguida, ao servidor de aplicativos.
Enquanto isso, o WebSphere Application Server valida cada solicitação que é fornecida por meio da junção para garantir que a origem seja uma parte confiável. Esse processo é referido como validar a confiança e é executado por um interceptador designado pelo produto WebSEAL. Se a validação for bem-sucedida, o WebSphere Application Server autorizará a solicitação verificando se o usuário cliente possui as permissões necessárias para acessar o recurso da Web. Nesse caso, o recurso da Web será entregue ao servidor WebSEAL por meio do servidor da Web, o qual fornece então o recurso ao usuário cliente.
Servidor WebSEAL
O diretor de políticas delega todas as solicitações da web ao seu componente da Web, o servidor WebSEAL. Uma das funções principais do servidor é executar a autenticação do usuário solicitante. O servidor WebSEAL consulta um diretório LDAP (Lightweight Directory Access Protocol). Ele também pode mapear o ID do usuário original para outro ID do usuário, como a GSO (Conexão Única Global) é utilizada.

Para uma autenticação bem-sucedida, o servidor reproduz a função de um cliente para o WebSphere Application Server ao canalizar a solicitação. O servidor precisa dos seus próprios ID do usuário e senha para se identificar no WebSphere Application Server. Essa identidade deve ser válida na região de segurança do WebSphere Application Server. O servidor WebSEAL substitui as informações de autenticação básicas no pedido HTTP por seus próprios ID de usuário e senha. Além disso, o WebSphere Application Server deve determinar as credenciais do cliente de solicitação de modo que o servidor de aplicativos tenha uma identidade para usar como uma base para suas decisões de autorização. Essa informação é transmitida pelo pedido HTTP criando um cabeçalho denominado iv-creds, com as credenciais de usuário do Tivoli Access Manager como seu valor.
Servidor HTTP
A junção criada no servidor WebSEAL deve chegar ao servidor HTTP, que serve como o front-end do produto. No entanto, o servidor HTTP é protegido de conhecer que a associação de confiança é utilizada. Até onde ele sabe, o produto WebSEAL é apenas outro cliente HTTP, e como parte de suas rotinas normais ele envia o pedido HTTP ao produto. A única exigência no servidor HTTP é uma configuração de SSL (Secure Sockets Layer) utilizando somente autenticação de servidor. Essa exigência protege os pedidos que fluem dentro da junção.
Colaborador da Web
- O pedido precisa ser autenticado.
- O pedido precisa ser autorizado.
Autenticador da Web
O autenticador da Web é solicitado pelo colaborador da Web a autenticar uma determinada solicitação de HTTP. Sabendo que a associação de confiança está ativada, a tarefa do autenticador da Web é descobrir o interceptor da associação de confiança apropriado para direcionar a solicitação para processamento. O autenticador da Web consulta cada interceptor disponível. Se nenhum interceptor de destino for encontrado, o autenticador da Web processa a solicitação como se a associação de confiança não estivesse ativada.
O WebSphere Application Server Versão 4 até o WebSphere Application Server Versão 6.x suportam a interface com.ibm.websphere.security.TrustAssociationInterceptor.java. O WebSphere Application Server Versão 7.0.x e posterior suporta a interface com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl.
Interface do Interceptor da Associação Confiável
O intento da interface do interceptor de associação de confiança é de que servidores de segurança de proxy reverso (RPSS) existam como pontos de entrada expostos para executar autenticação e autorização de alta granularidade, enquanto o WebSphere Application Server força o controle de acesso de baixa granularidade. As associações de confiança aprimoram a segurança reduzindo o escopo e o risco de exposição.
Em uma infraestrutura típica de e-business, o ambiente distribuído de uma empresa consiste em servidores de aplicativos da Web, sistemas existentes e um ou mais RPSS, como o produto Tivoli WebSEAL. Como servidores proxy reversos, servidores de segurança de front-end ou plug-ins de segurança registrados dentro dos servidores da Web, guarde as solicitações de acesso de HTTP para os servidores da Web e os servidores de aplicativos da Web. Enquanto protegem o acesso ao URIs (Uniform Resource Identifiers), esses RPSS executam autenticação, autorização grosseira e roteamento de pedidos para o servidor de aplicativos de destino.
- O atributo com.ibm.websphere.ssl.direct_connection_peer_certificates contém um objeto X509Certificate[] do certificado para um peer direto.
- O atributo com.ibm.websphere.ssl.direct_connection_cipher_suite contém um objeto de cadeia de um conjunto de criptografia direto.
- O atributo com.ibm.websphere.webcontainer.is_direct_connection contém um objeto booleano que indica se a conexão foi feita por meio de um servidor da Web ou foi feita diretamente no WebSphere Application Server.
Consulte o tópico Atributos de Solicitação de Contêiner da Web para obter mais informações sobre esses atributos.