信任关联

通过信任关联可以将 IBM® WebSphere® Application Server 安全性与第三方安全服务器进行集成。更确切地说,当产品将它自已的授权策略应用到由代理服务器传递的结果凭证时,逆向代理服务器可以充当前端认证服务器。

对这种集成配置的需求已变得越来越引人注目了,特别是在单个产品无法满足所有客户需求或迁移不是可行的解决方案的时候。

在此设置中,WebSphere Application Server 用作后端服务器,以进一步利用其细颗粒度访问控制。逆向代理服务器将包括已认证用户的凭证的 HTTP 请求传递给 WebSphere Application Server。然后,WebSphere Application Server 使用这些凭证为请求授权。

信任关联模型

WebSphere Application Server 可以支持信任关联这一概念意味着产品应用程序安全性可以识别和处理从逆向代理服务器接收到的 HTTP 请求。WebSphere Application Server 与代理服务器约定,该产品完全信任代理服务器,而代理服务器将其认证策略应用于分派给 WebSphere Application Server 的每个 Web 请求。此信任是由驻留在产品环境中的拦截器对每个接收的请求进行验证的。验证方法是代理服务器和拦截器协商达成的。

以信任关联方式运行时,不会禁止 WebSphere Application Server 接受未通过代理服务器传递的请求。在这种情况下,验证信任不需要拦截器。

WebSphere Application Server 支持下列信任关联拦截器 (TAI) 接口:
com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus
用于实现新的 WebSphere Application Server 接口的此 TAI 拦截器实现支持 WebSphere Application Server V5.1.1 和更高版本。该接口支持 WebSEAL V5.1,但是不支持 WebSEAL V4.1。有关安全性属性传播的解释,请参阅安全性属性传播
[z/OS]注: 此 TAI 拦截器实现还支持 WebSphere Application Server for z/OS® V5.1.0.2。
com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl
此拦截器是本发行版的新增内容。SPNEGO 已替换 SPNEGO TAI 来作为 WebSphere Application Server 的 Web 认证器。
WebSphere Application Server 可以支持信任关联这一概念隐含产品应用程序安全性识别和处理从逆向代理服务器接收的 HTTP 请求。WebSphere Application Server 和代理服务器约定,产品将完全信任代理服务器,并且代理服务器将对每个分派给 WebSphere Application Server 的 Web 请求应用它的认证策略。对于每个接收到的请求,产品环境中驻留的拦截器将验证此信任。验证方法由代理服务器和拦截器进行协商。

IBM WebSphere Application Server:WebSEAL 集成

通过将 WebSEAL 服务器放在前端作为逆向代理服务器,可以实现将 WebSEAL 与 WebSphere Application Server 安全性进行集成。从 WebSEAL 管理角度而言,所创建的结点是这样的:让 WebSEAL 位于一端,产品 Web 服务器位于另一端。结点是创建用来建立从 WebSEAL 服务器到另一台服务器的路径的逻辑连接。

在此设置中,将存储在该产品的受保护域中的 Web 资源的请求提交给 WebSEAL 服务器,在 WebSEAL 服务器中,将针对 WebSEAL 安全领域对该请求进行认证。如果发出请求的用户对结点具有访问权,那么该请求将通过结点传送到 WebSphere Application Server HTTP 服务器,然后再传送到应用程序服务器。

在这期间,WebSphere Application Server 将验证通过结点到达的每个请求,以确保源是可信任方。此进程作为验证信任引用,并且由 WebSEAL 产品指定的拦截器执行。如果验证成功,那么 WebSphere Application Server 将通过检查客户机用户是否具有访问 Web 资源所需要的许可权来对请求进行授权。如果情况如此,那么通过 Web 服务器将 Web 资源传递到 WebSEAL 服务器,然后 WebSEAL 服务器将该 Web 资源传递给客户机用户。

WebSEAL 服务器

Policy Director 将所有 Web 请求委派给其 Web 组件(即,WebSEAL 服务器)。该服务器的其中一项主要功能是对发出请求的用户执行认证。WebSEAL 服务器将访问轻量级目录访问协议 (LDAP) 目录。它还可以将原始用户标识映射至另一个用户标识,例如,在使用全局单点登录 (GSO) 时进行映射。

Policy Director 将所有 Web 请求委派给其 Web 组件(即 WebSEAL 服务器)。该服务器的其中一项主要功能是对发出请求的用户执行认证。WebSEAL 服务器将访问轻量级目录访问协议 (LDAP) 目录。它还可以将原始用户标识映射至另一个用户标识,例如,在使用全局单点登录 (GSO) 时进行映射。

为了成功进行认证,该服务器在发送请求时充当 WebSphere Application Server 的客户机角色。该服务器需要使用它自己的用户标识和密码以向 WebSphere Application Server 标识自己。此标识在 WebSphere Application Server 的安全领域中必须有效。WebSEAL 服务器用它自已的用户标识和密码替换 HTTP 请求中的基本认证信息。另外,WebSphere Application Server 还必须确定发出请求的客户机的凭证,以便应用程序服务器具有用作其授权决策基础的标识。将通过 HTTP 请求传输此信息,方法是创建一个名为 iv-creds 的头,并使用 Tivoli® Access Manager 用户凭证作为其值。

HTTP Server

在 WebSEAL 服务器中创建的结点必须能够作为产品前端的 HTTP Server。但是,HTTP Server 不知道使用信任关联。至于它知道的是,WebSEAL 产品只是另一台 HTTP 客户机,并且是其常规例程的一部分,它发送 HTTP 请求给产品。HTTP Server 上的唯一需求是仅使用服务器认证的安全套接字层 (SSL) 配置。此要求保护在结点内流动的请求。
在 WebSEAL 服务器中创建的结点必须能够访问作为产品前端的 HTTP Server。但是,HTTP Server 不知道是否使用了信任关联。至于它知道的是,WebSEAL 产品只是另一个 HTTP 客户机,作为其常规例程的一部分,它将 HTTP 请求发送给该产品。对 HTTP Server 的唯一要求是仅使用服务器认证的安全套接字层 (SSL) 配置。此要求保护在结点内流动的请求。

Web 协调程序

启用了信任关联时,Web 协调程序将管理系统中所配置的拦截器。当您重新启动服务器时,Web 协调程序将装入和初始化这些拦截器。当通过 Web 服务器将请求传递到 WebSphere Application Server 时,Web 协调程序最后会接收到该请求以进行安全性检查。两种操作必须发生:
  1. 必须认证请求。
  2. 必须授权请求。
通过传递 HTTP 请求并调用 Web 认证器来认证请求。如果认证成功,那么认证器将返回有效的凭证记录,Web 协调程序将此记录用作它对所请求资源进行授权的基础。如果授权成功,那么 Web 协调程序将向 WebSphere Application Server 指出安全性检查已成功,并且可以提供所请求的资源。

Web 认证器

Web 协调程序请求 Web 认证器对所给定的 HTTP 请求进行认证。Web 认证器在了解已启用信任关联之后,其任务是查找适当的信任关联拦截器以指示请求进行处理。Web 认证器将查询每个可用的拦截器。如果未找到目标拦截器,那么 Web 认证器会像未启用信任关联一样来处理请求。

注:

WebSphere Application Server V4 到 WebSphere Application Server V6.x 支持 com.ibm.websphere.security.TrustAssociationInterceptor.java 接口。WebSphere Application Server V7.0.x 和更高版本支持 com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl 接口。

信任关联拦截器接口

WebSphere Application Server 强制执行进一步的细颗粒度访问控制时,信任关联拦截器接口的意图是让逆向代理安全服务器 (RPSS) 作为公开的入口点存在,以执行认证和粗颗粒度的授权。信任关联通过减少曝露的范围和风险提高安全性。

在典型的电子商务基础结构中,公司的分布式环境由下列各项组成:Web 应用程序服务器、Web 服务器、现有系统以及一个或多个 RPSS(例如,Tivoli WebSEAL 产品)。这些逆向代理服务器、前端安全服务器或者在 Web 服务器中注册的安全性插件将保护对 Web 服务器和 Web 应用程序服务器的 HTTP 访问请求。保护对统一资源标识 (URI) 的访问时,这些 RPSS 执行认证、粗颗粒度的授权并请求路由到目标应用程序服务器。

有时候,当 Web 服务器(例如,IBM HTTP Server)使用 TAI 与 WebSphere Application Server 进行通信时,让 TAI 知道请求是来自于 Web 服务器还是直接发送至 WebSphere Application Sever 非常重要。因此,WebSphere Application Server Web 容器使用三个 HttpServletRequest 属性为 TAI 提供请求的证书信息。
  • com.ibm.websphere.ssl.direct_connection_peer_certificates 属性包含直接对等方的证书的 X509Certificate[] 对象。
  • com.ibm.websphere.ssl.direct_connection_cipher_suite 属性包含直接密码套件的字符串对象。
  • com.ibm.websphere.webcontainer.is_direct_connection 属性包含一个布尔对象,此对象指示是通过 Web 服务器进行连接,还是直接连接到 WebSphere Application Server

有关这些属性的更多信息,请参阅 Web 容器请求属性主题。


指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_trust
文件名:csec_trust.html