WebSphere Application Server 的 Tivoli Access Manager 安全性
WebSphere® Application Server 提供嵌入式 IBM® Tivoli® Access Manager 客户机技术来保护 WebSphere Application Server 管理的资源。
- 基于坚固容器的授权
- 集中式策略管理
- 公共标识、用户概要文件和授权机制的管理
- 使用 Tivoli Access Manager Web Portal Manager 的管理控制台来对符合和不符合 Java™ Platform, Enterprise Edition (Java EE) 的 Java EE 资源进行单点安全管理
- 不需要对应用程序进行编码或部署更改
- 使用 WebSphere Application Server 管理控制台容易管理用户、组和角色
WebSphere Application Server 支持 Java Authorization Contract for Containers (JACC) 规范。JACC 详细描述了 Java EE 容器和授权提供程序的合同要求。通过此合同,授权提供程序可以执行 Java EE 应用程序服务器(例如,WebSphere Application Server)中资源的访问决策。嵌入在 WebSphere Application Server 中的 Tivoli Access Manager 安全实用程序符合 JACC,并且用来执行下列任务:
- 部署应用程序时添加安全策略信息
- 授予对于 WebSphere Application Server 保护的资源的访问权。
当应用程序已部署时,嵌入式 Tivoli Access Manager 客户机会获取存储在应用程序部署描述符中或使用注释的任何策略和/或用户和角色信息,然后将该信息存储在 Tivoli Access Manager 策略服务器中。
当用户请求访问 WebSphere Application Server 管理的资源时,也会调用 Tivoli Access Manager JACC 提供程序。

- 访问受保护资源的用户通过使用 Tivoli Access Manager 登录模块来认证,配置该登录模块是为了在启用嵌入式 Tivoli Access Manager 客户机时进行使用。
- WebSphere Application Server 容器使用 Java EE 应用程序部署描述符和注释中的信息来确定必需的角色成员资格。
- WebSphere Application Server 使用嵌入式 Tivoli Access Manager 客户机来请求 Tivoli Access Manager 授权服务器的授权决策。如果存在其他上下文信息,那么也会将其传递到授权服务器。此上下文信息由单元名称、Java EE 应用程序名称和 Java EE 模块名称组成。如果 Tivoli Access Manager 策略数据库具有为任何上下文信息指定的策略,那么授权服务器会使用此信息作出授权决策。
- 授权服务器会查询为 Tivoli Access Manager 保护的对象空间中所指定用户定义的许可权。受保护对象空间是策略数据库的一部分。
- Tivoli Access Manager 授权服务器会将访问决策返回到嵌入式 Tivoli Access Manager 客户机。
- 根据从 Tivoli Access Manager 授权服务器返回的决策,WebSphere Application Server 会授予或拒绝对受保护方法或资源的访问权。
- IBM Tivoli Access Manager for e-business
Installation Guide
本指南描述如何规划、安装和配置 Tivoli Access Manager 安全域。通过使用一系列简易安装脚本,您可以快速部署完整的功能性安全域。将安全域的部署恢复原型时,这些脚本非常有用。
要在 IBM Tivoli Access Manager for e-business 信息中心中访问此指南,请单击 Access Manager for e-business > Installation and upgrade information > Installation Guide。
- IBM Tivoli Access Manager for e-business
Administration Guide
此文档概述了用于管理受保护资源的 Tivoli Access Manager 安全模型。此指南描述如何配置作出访问控制决策的 Tivoli Access Manager 服务器。另外,详细指示信息描述如何执行重要任务,例如声明安全策略、定义受保护对象空间以及管理用户和组概要文件。
要在 IBM Tivoli Access Manager for e-business 信息中心中访问此指南,请单击 Access Manager for e-business > Administration Information > Administration Guide。

上图是个示例体系结构,显示由 Tivoli Access Manager 保护的 WebSphere Application Server。
参与的 WebSphere Application Server 使用 Tivoli Access Manager 策略数据库的本地副本来为入局请求作出授权决策。本地策略数据库是主策略数据库的副本。主策略数据库是作为 Tivoli Access Manager 安装的一部分来安装的。使每个参与的 WebSphere Application Server 节点上都有策略数据库副本会优化作出授权决策时的性能,并提供故障转移功能。
虽然授权服务器还可与 WebSphere Application Server 安装在同一系统上,但是图中未说明此配置。
该示例体系结构中 Tivoli Access Manager 和 WebSphere Application Server 的所有实例都共享机器 E 上的轻量级目录访问协议 (LDAP) 用户注册表。
受 WebSphere Application Server 支持的 LDAP 注册表也受 Tivoli Access Manager 支持。
![[IBM i]](../images/iseries.gif)