授权提供程序
除了支持缺省授权以外,WebSphere® Application Server 还支持基于 Java™ Authorization Contract for Containers (JACC) 规范的授权。
JACC 是 Java Platform Enterprise Edition (Java EE) 1.5 中引入的规范。它使第三方安全提供程序能管理应用程序服务器中的授权。
![[z/OS]](../images/ngzos.gif)
如果在 WebSphere Application Server 中启用了安全性,那么除非指定了 JACC 提供程序,否则将使用缺省授权。缺省授权不需要特殊的设置,且缺省授权引擎作出所有授权决策。但是,如果配置并设置了 JACC 提供程序以供 WebSphere Application Server 使用,那么所有企业 Bean 和 Web 委派决策都由 JACC 提供程序执行。
WebSphere Application Server 支持 Java EE 应用程序的安全性并且还支持其管理组件的安全性。会根据 Java EE 规范来保护 Java EE 应用程序(例如,Web 组件和 Enterprise JavaBeans (EJB) 组件)并为这些应用程序授权。管理组件是 WebSphere Application Server 的内部组件,并且受基于角色的授权程序保护。管理组件包括管理控制台、MBean 和其他组件(例如,命名和安全性)。有关管理安全性的更多信息,请参阅基于角色的授权。
当在 WebSphere Application Server 中使用 JACC 提供程序进行委派时,根据 JACC 规范,所有基于 Java EE 应用程序的授权决策都由该提供程序执行。但是,所有管理安全性授权决策都是由 WebSphere Application Server 缺省授权引擎作出的。不会调用 JACC 提供程序来作出管理安全性的授权决策。
当访问受保护的 Java EE 资源时,不论是使用缺省授权引擎还是使用 JACC 提供程序,在授予对主体的访问权的授权决策方面都是相同的。这两个授权模型都符合 J2EE 规范,并且功能相同。仅当您要使用外部安全提供程序(例如 Tivoli® Access Manager)时才选择 JACC 提供程序。在此情况下,安全提供程序必须支持 JACC 规范,并且必须设置为与 WebSphere Application Server 配合使用。设置并配置 JACC 提供程序需要其他配置步骤,这取决于该提供程序。除非您具有可与 WebSphere Application Server 配合使用的外部安全提供程序,否则请使用缺省授权。
要支持 EE7 新引入的“**”角色(所有已认证角色),必须将 JACC 提供程序配置为将角色“**”映射到相应的角色。