外部授权提供程序设置
使用此页面来启用 Java™ Authorization Contract for Containers(JACC)提供程序以进行授权决策。
要查看此管理控制台页面,请完成下列步骤:
- 单击 。
- 单击外部授权提供程序。
应用程序服务器提供了缺省授权引擎,它执行所有授权决策。另外,应用程序服务器还支持使用 JACC 规范的外部授权提供程序,以替换 Java Platform Enterprise Edition(Java EE)应用程序的缺省授权引擎。
JACC 是 Java EE 规范的组成部分,该规范使第三方安全提供程序(例如 Tivoli® Access Manager)能够插入到应用程序服务器中并执行授权决策。
要点: 除非有外部 JACC 提供程序或者要使用 Tivoli Access Manager 的
JACC 提供程序(它能够处理基于 JACC 的 Java EE 授权)并且已将其配置并设置成与应用程序服务器配合使用,否则不要启用使用 JACC 提供程序进行外部授权。
内置授权
除非要使用外部安全提供程序(例如 Tivoli Access Manager)为基于 JACC 规范的 Java EE 应用程序执行授权决策,否则应该始终使用此选项。
外部 JACC 提供程序
使用此链接来将应用程序服务器配置为使用外部 JACC 提供程序。例如,要配置外部 JACC 提供程序,JACC 规范需要策略类名和策略配置工厂类名。
Tivoli Access Manager 使用此链接中包含的缺省设置来进行授权决策。如果您打算使用另一个提供程序,适当修改设置。
![[z/OS]](../images/ngzos.gif)
系统授权工具(SAF)授权
使用此选项来指定,SAF EJBROLE 概要文件既用于 Java 2 Platform Enterprise Edition(Java EE)应用程序的用户到角色授权,也用于与应用程序服务器运行时相关联的基于角色的授权请求(命名和管理)的用户到角色授权。仅当环境包含 z/OS® 节点时,此选项才可用。
要点: 选择此选项后,WebSphere Application Server 将使用 z/OS 安全性产品中存储的授权策略来进行授权。
如果配置了轻量级目录访问协议 (LDAP) 注册表或定制注册表并指定了
SAF 授权,那么每次登录时都需要映射到 z/OS 主体,这样才能运行受保护的方法:
- 如果认证机制是轻量级第三方认证(LTPA),那么建议您更新下列所有的配置条目,以映射到有效的 z/OS 主体(例如 WEB_INBOUND、RMI_INBOUND 和 DEFAULT)。
- 如果认证机制是简单 WebSphere 认证机制(SWAM),那么必须更新 SWAM 配置条目,以映射到有效的 z/OS 主体。
注: 建议不要使用 SWAM,并且在将来的发行版中将移除此认证机制。