使用嵌入式 Tivoli Access Manager 的基于角色的安全性
Java™ Platform, Enterprise Edition (Java EE) 基于角色的授权模型使用角色和资源的概念。这里提供了一个示例。
角色 | getBalance | deposit | closeAccount |
---|---|---|---|
Teller | 授权的 | 授权的 | |
Cashier | 授权的 | ||
Supervisor | 授权的 |
在前一个表中进行概念化的存款应用程序的示例中,定义了三个角色:teller、cashier 和 supervisor。执行 getBalance、deposit 和 closeAccount 应用程序方法的许可权映射至这些角色。从此示例中,您可以看到指定 Supervisor 角色的用户可以运行 closeAccount 方法,而其他两个角色无法运行此方法。
WebSphere® Application Sever 安全性中的主体这一术语指执行活动的人员或进程。组是在 WebSphere Application Server 中配置的主体的逻辑集合,以使应用安全性变得更容易。角色可以映射至主体和/或组。
主体/组 | Teller | Cashier | Supervisor |
---|---|---|---|
TellerGroup | 调用 | ||
CashierGroup | 调用 | ||
SupervisorGroup | |||
Frank:不是任何先前组的成员的一个主体 | 调用 | 调用 |
在部署应用程序时,Tivoli Access Manager 的 Java Authorization Contract for Container (JACC) 提供程序使用应用程序部署描述符和/或注释中包含的任何安全策略信息填充 Tivoli Access Manager 保护的对象空间。此安全信息用于确定每次请求 WebSphere Application Server 资源时的访问权。
缺省情况下,将使用角色名、单元名、应用程序名和模块名来执行 Tivoli Access Manager 访问检查。
Tivoli Access Manager 访问控制表 (ACL) 确定将哪些应用程序角色指定给主体。在部署应用程序时,ACL 将附加到 Tivoli Access Manager 保护的对象空间中的应用程序。
主体到角色映射通过 WebSphere Application Server 管理控制台进行管理,并且永远不会使用 Tivoli Access Manager 进行修改。仅为管理安全用户执行 ACL 的直接更新。
- 在部署应用程序期间,会将策略信息发送至 Tivoli Access Manager 的 JACC 提供程序。此策略信息包含许可权到角色映射和角色到主体和角色到组映射信息。
- Tivoli Access Manager 的 JACC 提供程序将信息转换为所需的格式,并将此信息传递到 Tivoli Access Manager 策略服务器。
- 策略服务器将条目添加到 Tivoli Access Manager 保护的对象空间,以表示为应用程序和许可权到角色映射而定义的角色。许可权将表示为 Tivoli Access Manager 保护的对象,并且会将授予给此对象的角色附加为扩展属性。