Selecionando um Mecanismo de Autenticação

Um mecanismo de autenticação define regras sobre informações de segurança, como se uma credencial é redirecionável para outro processo Java™, e o formato de como as informações de segurança são armazenadas em credenciais e tokens. Você pode selecionar e configurar um mecanismo de autenticação utilizando o console administrativo.

Sobre Esta Tarefa

Autenticação é o processo de estabelecer se um cliente é quem ou o que alega ser em um contexto específico. Um cliente pode ser um usuário, uma máquina ou um aplicativo. Geralmente, um mecanismo de autenticação no WebSphere Application Server colabora estreitamente com um registro do usuário. O registro de usuários é o repositório de contas de usuários e grupos que o mecanismo de autenticação consulta ao executar a autenticação. O mecanismo de autenticação é responsável por criar uma credencial, a qual é uma representação interna do produto de um usuário cliente. Nem todas as credenciais são criadas igualmente. As capacidades da credencial são determinadas pelo mecanismo de autenticação configurado.

O WebSphere Application Server fornece três mecanismos de autenticação: LTPA (Lightweight Third Party Authentication), Kerberos e mecanismo de autenticação de tokens RSA.

O suporte de segurança para Kerberos como o mecanismo de autenticação foi incluído para este release do WebSphere Application Server. O Kerberos (KRB5) é um protocolo de autenticação de rede maduro, flexível, aberto e muito seguro. O Kerberos inclui os recursos de autenticação, autenticação mútua, integridade de mensagens e de confidencialidade e delegação. O KRB5 é usado para o Kerberos no console administrativo e nos arquivos sas.client.props, soap.client.props e ipc.client.props.

O mecanismo de autenticação de tokens RSA é novo neste release do WebSphere Application Server. Ele ajuda o objetivo de gerenciamento flexível a preservar as configurações dos perfis de base e isolá-los de uma perspectiva de segurança. Esse mecanismo permite que os perfis de base que são gerenciados por um agente administrativo tenham diferentes chaves Lightweight Third-Party Authentication (LTPA), diferentes registros do usuário e usuários administrativos diferentes.

Nota: O SWAM (Simple WebSphere Authentication Mechanism) está reprovado neste release. Ele não fornece comunicação autenticada entre servidores diferentes.

A autenticação é exigida para clientes de enterprise bean e Web clients quando eles acessam recursos protegidos. Os clientes de enterprise bean, como um servlet ou outros enterprise beans ou um cliente puro, enviam as informações sobre autenticação para um servidor de aplicativos da web, usando um dos seguintes protocolos:

  • CSIv2 (Common Secure Interoperability Version 2)
  • [AIX Solaris HP-UX Linux Windows][IBM i]SAS (Secure Authentication Service)
    Nota: SAS é suportado apenas entre servidores Versão 6.0.x e de versões anteriores que foram federados em uma célula Versão 6.1.
  • [z/OS]z/SAS (z/OS Secure Authentication Service)
    Nota: O z/SAS é suportado somente entre os servidores Versão 6.0.x e anterior que foram associados a uma célula Versão 6.1.

Os clientes da Web utilizam o protocolo HTTP ou HTTPS para enviar as informações sobre autenticação.

As informações sobre autenticação podem ser autenticação básica (ID do usuário e senha), um token de credencial ou um certificado cliente. A autenticação da Web é executada pelo módulo de autenticação da Web.

É possível configurar a autenticação da Web para um cliente Web usando o console administrativo. Clique em Segurança > Segurança global. Em Autenticação, expanda Segurança da Web e do SIP e clique em Configurações Gerais. Existem as seguintes opções para autenticação da Web:
Autenticar somente quando o URI Estiver Protegido
Especifica que o cliente Web pode recuperar uma identidade autenticada somente ao acessar um URI (Identificador Uniforme de Recursos) protegido. O WebSphere Application Server impugna o Web client a fornecer dados de autenticação quando o Web client acessa um URI protegido por uma função do J2EE. Essa opção padrão também está disponível em versões anteriores do WebSphere Application Server.
Utilizar Dados de Autenticação Disponíveis quando um URI Desprotegido É Acessado
Especifica que o Web client está autorizado a chamar os métodos getRemoteUser, isUserInRole e getUserPrincipal; recupera uma identidade autenticada de um URI protegido ou não protegido. Embora os dados de autenticação não sejam utilizados ao acessar um URI não protegido, eles são retidos para uso futuro. Essa opção está disponível ao selecionar a caixa de opções Autenticação Somente quando o URI Estiver Protegido.
Autenticar quando qualquer URI for acessado
Especifica que o Web client deve fornecer dados de autenticação independentemente de o URI estar protegido.
Padronizar como Autenticação Básica quando a Autenticação do Certificado para o Cliente HTTPS Falhar.
Especifica que o WebSphere Application Server impugna o Web client para um ID do usuário e senha quando a autenticação do certificado cliente HTTPS necessária falha.

A autenticação de enterprise bean é executada pelo módulo de autenticação de Enterprise JavaBeans (EJB).

[AIX Solaris HP-UX Linux Windows][IBM i]O módulo de autenticação EJB reside no CSIv2 e na camada do SAS.

[z/OS]O módulo de autenticação EJB reside no CSIv2 e na camada do z/SAS.

O módulo de autenticação é implementado usando o módulo de login Java Authentication and Authorization Service (JAAS). O autenticador de Web e o autenticador de EJB passam os dados de autenticação para o módulo de login, que pode usar os seguintes mecanismos para autenticar os dados:

  • Kerberos
  • LTPA
  • Token RSA
  • [z/OS]Simple WebSphere Authentication Mechanism (SWAM)
    Nota: O SWAM foi reprovado no WebSphere Application Server Versão 6.1 e será removido em um release futuro.
O módulo de autenticação utiliza o registro configurado no sistema para desempenhar a autenticação. São suportados quatro tipos de registros:
  • Repositórios federados
  • Sistema operacional local
  • Registro LDAP (Lightweight Directory Access Protocol) independente
  • Registro Customizado Independente

A implementação do registro externo após a interface do registro especificada pelo IBM® pode substituir o sistema operacional local ou o registro LDAP.

O módulo de login cria um assunto JAAS após a autenticação e armazena a credencial derivada dos dados de autenticação na lista de credenciais públicas do assunto. A credencial é retornada para o autenticador de Web ou para o autenticador de enterprise beans.

[AIX Solaris HP-UX Linux Windows][IBM i]O autenticador da Web e o autenticador de enterprise beans armazenam as credenciais recebidas no ORB (Object Request Broker) atual para que o serviço de autorização as use na execução de verificações de controle de acesso adicionais. Se as credenciais puderem ser encaminhadas, elas serão enviadas para outros servidores de aplicativos.

[z/OS]O autenticador da Web e o autenticador de enterprise beans armazenam as credenciais recebidas para que o serviço de autorização as use na execução de verificações de controle de acesso adicionais.

Você pode configurar mecanismos de autenticação no console administrativo, fazendo o seguinte:

Procedimento

  1. Clique em segurança > Segurança global
  2. Em Mecanismos de Autenticação e Expiração, selecione um mecanismo de autenticação para ser configurado.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_aumech
Nome do arquivo: tsec_aumech.html