作为 JACC 提供程序的 Tivoli Access Manager 集成
Tivoli® Access Manager 使用 WebSphere® Application Server 中的 Java™ Authorization Contract for Container (JACC) 模型来执行访问检查。
- 运行时
- 客户机配置
- 授权表支持
- 访问检查
- 使用 PDLoginModule 模块的认证
对于运行时更改,Tivoli Access Manager 按 JACC 所要求的那样实现 PolicyConfigurationFactory 和 PolicyConfiguration 接口。在安装应用程序期间,使用这些接口将部署描述符中的安全策略信息和绑定文件中的授权表信息传播到 Tivoli 提供程序。Tivoli 提供程序通过调用相应的 Tivoli Access Manager 应用程序编程接口 (API) 将策略和授权表信息存储在 Tivoli Access Manager 策略服务器中。
Tivoli Access Manager 还实现 RoleConfigurationFactory 和 RoleConfiguration 接口。使用这些接口来确保授权表信息和策略信息都传递到提供程序。请参阅支持 JACC 的接口,以获取有关这些接口的更多信息。
要配置 Tivoli Access Manager 客户机,可以使用管理控制台或 wsadmin 脚本编制。可以通过单击安全性 > 全局安全性 > 外部授权提供程序来访问 Tivoli Access Manager 客户机配置的管理控制台面板。在“相关项”下,单击外部 JACC 提供程序。必须将 Tivoli 客户机设置为使用 Tivoli Access Manager JACC 提供程序。
有关如何配置 Tivoli Access Manager 客户机的更多信息,请参阅Tivoli Access Manager JACC 提供程序配置。
Tivoli Access Manager 使用 RoleConfiguration 接口来确保当安装或部署应用程序时将授权表信息传递到 Tivoli Access Manager 提供程序。部署或编辑应用程序时,将从 Tivoli Access Manager 服务器获取用户或组到角色映射的用户和组的集合,该服务器与 WebSphere Application Server 共享同一轻量级目录访问协议 (LDAP) 服务器。此共享是通过插入到应用程序管理用户或组到角色管理控制台面板来完成的。将调用管理 API 来获取用户和组,而不是依赖 WebSphere Application Server 配置的 LDAP 注册表来获取。
用户或组至角色的映射处于应用程序级别,而不是处于节点级别。
当 WebSphere Application Server 配置为使用 Tivoli Access Manager 的 JACC 提供程序时,它将信息传递给 Tivoli Access Manager 以作出访问决策。Tivoli Access Manager 策略实现查询访问控制表 (ACL) 数据库的本地副本,以获取访问决策。
WebSphere Application Server 中的定制登录模块可以执行该认证。此登录模块插入在 WebSphere Application Server 提供的登录模块前面。定制登录模块可以提供可存储在主体集中的信息。如果存储了所需的信息,那么不调用其他注册表来获取该信息。