使用嵌入式 Tivoli Access Manager 的基于角色的安全性

Java™ Platform, Enterprise Edition (Java EE) 基于角色的授权模型使用角色和资源的概念。这里提供了一个示例。

表 1. 角色.

此表是使用嵌入式 Tivoli® Access Manager 的基于角色的安全性的示例。

角色 getBalance deposit closeAccount
Teller 授权的 授权的  
Cashier 授权的    
Supervisor     授权的

在前一个表中进行概念化的存款应用程序的示例中,定义了三个角色:teller、cashier 和 supervisor。执行 getBalance、deposit 和 closeAccount 应用程序方法的许可权映射至这些角色。从此示例中,您可以看到指定 Supervisor 角色的用户可以运行 closeAccount 方法,而其他两个角色无法运行此方法。

WebSphere® Application Sever 安全性中的主体这一术语指执行活动的人员或进程。是在 WebSphere Application Server 中配置的主体的逻辑集合,以使应用安全性变得更容易。角色可以映射至主体和/或组。

表 2. 角色方法. 在下表中调用的条目表明主体或组可以调用授予该角色的任何方法。
主体/组 Teller Cashier Supervisor
TellerGroup 调用    
CashierGroup   调用  
SupervisorGroup      
Frank:不是任何先前组的成员的一个主体   调用 调用
在前一个示例中,主体 Frank 可以调用 getBalance 和 closeAccount 方法,但无法调用 deposit 方法,这是因为此方法未授予 Cashier 或 Supervisor 角色。

在部署应用程序时,Tivoli Access Manager 的 Java Authorization Contract for Container (JACC) 提供程序使用应用程序部署描述符和/或注释中包含的任何安全策略信息填充 Tivoli Access Manager 保护的对象空间。此安全信息用于确定每次请求 WebSphere Application Server 资源时的访问权。

缺省情况下,将使用角色名、单元名、应用程序名和模块名来执行 Tivoli Access Manager 访问检查。

Tivoli Access Manager 访问控制表 (ACL) 确定将哪些应用程序角色指定给主体。在部署应用程序时,ACL 将附加到 Tivoli Access Manager 保护的对象空间中的应用程序。

主体到角色映射通过 WebSphere Application Server 管理控制台进行管理,并且永远不会使用 Tivoli Access Manager 进行修改。仅为管理安全用户执行 ACL 的直接更新。

发生以下顺序的事件:
  1. 在部署应用程序期间,会将策略信息发送至 Tivoli Access Manager 的 JACC 提供程序。此策略信息包含许可权到角色映射和角色到主体和角色到组映射信息。
  2. Tivoli Access Manager 的 JACC 提供程序将信息转换为所需的格式,并将此信息传递到 Tivoli Access Manager 策略服务器。
  3. 策略服务器将条目添加到 Tivoli Access Manager 保护的对象空间,以表示为应用程序和许可权到角色映射而定义的角色。许可权将表示为 Tivoli Access Manager 保护的对象,并且会将授予给此对象的角色附加为扩展属性。

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_role_based_sec
文件名:csec_role_based_sec.html