用于认证的全局单点登录主体映射
可以使用 Tivoli® Access Manager 的 Java™ Authorization Contract for Containers (JACC) 提供程序来管理对企业信息系统 (EIS) 的认证,这些企业信息系统可以是位于 WebSphere® Application Server 安全性域中的数据库、事务处理系统和消息队列系统。将通过对“Java Platform, Enterprise Edition (Java EE) 连接器体系结构”资源使用全局单点登录 (GSO) 主体映射器 Java 认证和授权服务 (JAAS) 登录模块来完成这种认证。
使用 GSO 主体映射,特殊用途的 JAAS 登录模块将凭证插入主体集头。资源适配器使用此凭证来向 EIS 进行认证。使用的 JAAS 登录模块是在每个连接工厂基础上配置的。缺省主体映射模块从 XML 配置文件获取用户名和密码信息。Tivoli Access Manager 的 JACC 提供程序将忽略存储在“可扩展标记语言”(XML) 配置文件中的凭证,并改为使用 Tivoli Access Manager 全局登录 (GSO) 数据库来为 EIS 安全域提供认证信息。
WebSphere Application Server 提供用于将用户凭证信息与 EIS 资源相关联的缺省主体映射模块。将在 WebSphere Application Server 管理控制台的“应用程序登录”面板中定义缺省映射模块。要访问此面板,请单击安全性 > 全局安全性。在“Java 认证和授权服务”下,单击应用程序登录。映射模块名称为 DefaultPrincipalMapping。
EIS 安全域用户标识和密码是通过 authDataAlias 属性在每个连接工厂下定义的。authDataAlias 属性不包含用户名和密码;此属性包含用于表示在其他地方定义的用户名/密码对的别名。
Tivoli Access Manager 主体映射模块使用 authDataAlias 属性来确定在 Tivoli Access Manager GSO 数据库中执行查询所需要的 GSO 资源名称和用户名。Tivoli Access Manager 策略服务器从用户注册表中检索 GSO 数据。
Tivoli Access Manager 根据资源名称/用户名对在 Tivoli Access Manager GSO 数据库中存储认证信息。
