Protegendo Aplicativos da Web Usando uma Ferramenta de Montagem

É possível usar três tipos de mecanismos de autenticação de login da Web para configurar um aplicativo da Web: autenticação básica, autenticação baseada em formulário e autenticação baseada em certificado cliente. Proteja os recursos da Web de um aplicativo da Web atribuindo funções de segurança a esses recursos.

Sobre Esta Tarefa

Para proteger aplicativos da Web, determine os recursos da Web que precisam de proteção e determine como protege-los.
Nota: Esse procedimento talvez não corresponda às etapas requeridas ao utilizar a sua ferramenta de montagem ou corresponda à versão da ferramenta de montagem que você está utilizando. Você deve seguir as instruções para a ferramenta e a versão que você está utilizando.

As etapas a seguir detalham a proteção de um aplicativo da Web usando uma ferramenta de montagem:

Procedimento

  1. Em uma ferramenta de montagem, importe seu arquivo Web Application Archive (WAR) ou um arquivo archive (EAR) do aplicativo que contenha um ou mais módulos da Web.
  2. Na pasta Project Explorer, localize o aplicativo da Web.
  3. Clique com o botão direito do mouse no descritor de implementação e clique em Abrir Com > Deployment Descriptor Editor. A janela do Deployment Descriptor é aberta. Para consultar as informações sobre o editor, pressione F1 e clique no nome do editor. Se você selecionar um arquivo Web Application Archive (WAR), um editor do descritor de implementação da Web será aberto. Se você selecionar um arquivo de aplicativo corporativo (EAR), será aberto um editor do descritor de implementação do aplicativo.
  4. Crie funções de segurança no nível do aplicativo ou no nível do módulo da Web. Se uma função de segurança for criada no nível do módulo da Web, a função também será exibida no nível do aplicativo. Se uma função de segurança for criada no nível do aplicativo, a função não será exibida em todos os módulos da Web. É possível copiar e colar uma função de segurança do nível do aplicativo para uma ou mais funções de segurança do módulo da Web.
    • Crie uma função no nível do módulo da Web. Em um editor do descritor de implementação da Web, clique na guia Segurança. Em Funções de Segurança, clique em Incluir. Digite o nome da função de segurança, descreva-a e clique em Concluir.
    • Crie uma função no nível do aplicativo. Em um editor do descritor de implementação do aplicativo, clique na guia Segurança. Na lista de funções de segurança, clique em Incluir. No assistente Incluir Função de Segurança, nomeie e descreva a função de segurança e, em seguida, clique em Concluir.
  5. Crie restrições de segurança. As restrições de segurança são o mapeamento de um ou mais recursos da Web para um conjunto de funções.
    1. Na guia Segurança de um editor do descritor de implementação da Web, clique em Restrições de Segurança. Na guia Restrições de Segurança, é possível executar as seguintes ações:
      • Incluir ou remover restrições de segurança para funções de segurança específicas.
      • Incluir ou remover recursos da Web e seus métodos HTTP.
      • Definir quais funções de segurança estão autorizadas a acessar os recursos da Web.
      • Especificar as restrições Nenhuma, Integral ou Confidencial para os dados do usuário.
        Nenhum(a)
        O aplicativo não requer garantias de transporte.
        Integral
        Os dados não podem ser alterados em trânsito entre o cliente e o servidor.
        Confidencial
        O conteúdo dos dados não pode ser observado enquanto eles estiverem em trânsito.

        Integral e Confidencial geralmente requerem a utilização do SSL. Ao implementar aplicativos disponíveis em redes públicas, especifique Confidencial para suas restrições de aplicativo da Web

    2. Em Restrições de Segurança, clique em Incluir.
    3. Em Nome da Restrição, especifique um nome de exibição para a restrição de segurança e clique em Avançar.
    4. Digite um nome e uma descrição para a coleta de recursos da Web.
    5. Selecione um ou mais métodos HTTP. As opções do método HTTP são: GET, PUT, HEAD, TRACE, POST, DELETE e OPTIONS.
    6. No campo Padrões, clique em Incluir.
    7. Especifique um Padrão de URL. Por exemplo, digite - /*, *.jsp, /hello. Consulte a especificação de Servlet Versão 2.4 para obter instruções sobre o mapeamento de padrões de URL para servlets. O tempo de execução da segurança utiliza primeiro a correspondência exata para mapear a URL que chega com os padrões de URL. Se a correspondência exata não estiver presente, o tempo de execução da segurança utiliza a correspondência mais longa. A correspondência do padrão de URL do caractere curinga (*.,*.jsp) é a última utilizada.
    8. Clique em Concluir.
    9. Repita essas etapas para criar várias restrições de segurança.
  6. Mapeie os elementos security-role-ref e role-name para o elemento role-link. Durante o desenvolvimento de um aplicativo da Web, é possível criar o elemento security-role-ref. O elemento security-role-ref contém somente o campo nome da função. O campo nome da função contém o nome da função referida no código do servlet ou JSP (JavaServer Pages) para determinar se o responsável pela chamada está em uma função especificada. Como as funções de segurança são criadas durante o estágio de montagem, o desenvolvedor utiliza um nome de função lógico no campo Nome da Função e fornece descrição suficiente no campo Descrição para que o assembler mapeie a função real. O elemento Security-role-ref está no nível do servlet. Um servlet ou arquivo JSP (JavaServer Pages) pode ter zero ou mais elementos security-role-ref.
    1. Vá para a guia Referências de um editor do descritor de implementação da Web. Na guia Referências, é possível incluir ou remover o nome da referência de um bean corporativo no descritor de implementação. É possível definir cinco tipos de referências nesta guia:
      • referência do EJB
      • Referência de serviço
      • Referência de recurso
      • Referência de destino de mensagem
      • Referência de função de segurança
      • Referência de ambiente de recursos
    2. Na lista de referências EJB (Enterprise JavaBeans), clique em Incluir.
    3. Especifique um nome e um tipo para a referência nos campos Nome e Tipo de Referência.
    4. Selecione Beans Corporativos no Workplace ou Beans Corporativos que Não Estão no Workplace.
    5. Opcional: Se você selecionar Beans Corporativos que Não Estão no Workplace, selecione o tipo de enterprise bean no campo Tipo. É possível especificar um bean de entidade ou um bean de sessão.
    6. Opcional: Clique em Procurar para especificar valores para o home local e a interface local nos campos Home Local e Local antes de clicar em Avançar.
    7. Mapeie cada nome da função utilizado durante o desenvolvimento para a função utilizando as etapas anteriores. Cada nome de função utilizado durante o desenvolvimento é mapeado para a função real.
  7. Especifique a identidade Executar Como para servlets e arquivos JSP. A identidade Executar Como de um servlet é utilizada para chamar os enterprise beans a partir do código do servlet. Quando os enterprise beans são chamados, a identidade Executar Como é transmitida ao enterprise bean para executar uma verificação de autorização nos enterprise beans. Se a identidade Executar Como não for especificada, a identidade do cliente é propagada para os enterprise beans. A identidade Executar Como é atribuída no nível do servlet.
    1. Na guia Servlets de um editor do descritor de implementação da Web, em Servlets e JSP, clique em Incluir. O assistente Incluir Servlet ou JSP é aberto.
    2. Especifique as definições de servlet ou de arquivo JSP (JavaServer Pages), incluindo o nome, parâmetros de inicialização e mapeamentos de URL e clique em Avançar.
    3. Especifique o destino do arquivo de classe.
    4. Clique em Avançar para especificar configurações adicionais ou clique em Concluir.
    5. Clique em Run As na guia Servlets, selecione a função de segurança e descreva a função.
    6. Especifique uma identidade RunAs para cada servlet e arquivo JSP usado por seu aplicativo da Web.
  8. Configure o mecanismo de login para o módulo da Web. Esse mecanismo de login configurado aplica-se a todos os servlets, arquivos JavaServer Pages (JSP) e recursos HTML no módulo da Web.
    1. Clique na guia Páginas de um editor do descritor de implementação da Web e clique em Login. Selecione o método de autenticação requerido. Os valores de método disponíveis incluem: Não Especificado, Básico, Compilação, Formulário e Certificado do Cliente.
    2. Especifique um nome de região.
    3. Se você selecionar o método de autenticação de Formulário, selecione uma página de login e um endereço da Web de página de erro. Por exemplo, você pode utilizar /login.jsp ou /error.jsp. As páginas de login e de erros especificadas estão presentes no arquivo .war.
    4. [AIX Solaris HP-UX Linux Windows][IBM i]Instale o certificado do cliente no navegador ou no Web client e coloque o certificado do cliente no arquivo de conjunto de chaves confiáveis do servidor, se ClientCert for selecionado.
    5. [z/OS]Instale o certificado do cliente no Web client do navegador e coloque o certificado do cliente no arquivo de conjunto de chaves confiáveis do servidor, se o certificado ClientCert for selecionado. O certificado público da autoridade de certificação de clientes deve ser colocado no anel de chaves RACF de servidores. Se o registro for um registro de S.O. local, utilize o RACDCERT MAP ou o comando SAF (System Authorization Facility) equivalente para possibilitar a criação de um identidade do MVS utilizando o certificado cliente.
  9. Feche o Deployment Descriptor Editor e, quando solicitado, clique em Sim para salvar as mudanças.

Resultados

Depois de proteger um aplicativo da Web, o arquivo Web Application Archive (WAR) resultante contém as informações de segurança em seu descritor de implementação. As informações de segurança do módulo da Web são armazenadas no arquivo web.xml. Ao trabalhar no editor do descritor de implementação da Web, você também pode editar outros descritores de implementação no projeto da Web, incluindo informações sobre ligações e extensões IBM® nos arquivos ibm-web-bnd.xmi e ibm-web-ext.xmi.
Configurações suportadas Configurações suportadas: Para arquivos de extensão e de ligação IBM, a extensão do nome do arquivo .xmi ou .xml é diferente dependendo de você estar utilizando um aplicativo pré-Java EE 5 ou um módulo ou um aplicativo ou módulo Java EE 5 ou posterior. Um arquivo de extensão ou de ligação IBM é denominado ibm-*-ext.xmi ou ibm-*-bnd.xmi em que * é o tipo de arquivo de extensão ou de ligação como app, aplicativo, ejb-jar ou web. As seguintes condições se aplicam:
  • Para um aplicativo ou módulo que usa um Java EE versão anterior à versão 5, a extensão do arquivo deverá ser .xmi.
  • Para um aplicativo ou módulo que usa Java EE 5 ou posterior, a extensão do arquivo deve ser .xml. Se os arquivos .xmi forem incluídos no aplicativo ou módulo, o produto ignorará os arquivos .xmi.

No entanto, um módulo Java EE 5 ou posterior pode existir dentro de um aplicativo que inclui arquivos pré-Java EE 5 e usa a extensão do nome do arquivo .xmi.

Os arquivos ibm-webservices-ext.xmi, ibm-webservices-bnd.xmi, ibm-webservicesclient-bnd.xmi, ibm-webservicesclient-ext.xmi, e ibm-portlet-ext.xmi continuam a usar as extensões de arquivo .xmi.

sptcfg

O que Fazer Depois

Depois de usar uma ferramenta de montagem para proteger um aplicativo da Web, é possível instalar o aplicativo da Web usando o console administrativo. Durante a instalação do aplicativo da Web, conclua as etapas em Implementando aplicativos seguros para concluir a proteção do aplicativo da Web.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_secweb_atk
Nome do arquivo: tsec_secweb_atk.html