Der Authentifizierungsprozess von WebSphere Application Server basiert auf dem Mechanismus, der in "javax.security.auth.login.LoginContext" definiert ist. In dem Authentifizierungsprozess stellt WebSphere Application Server ein Anmeldemodul bereit, das die SPI-Schnittstelle "javax.security.auth.spi.LoginModule" implementiert. Das Anmeldemodul ist für die Authentifizierung der Principals der Anmeldung verantwortlich.
Das WebSphere Application Server-Anmeldemodul wird in der Java-Klasse "javax.security.auth.login.Configuration" mit dem definierten WebSphere Application Server-Namen "WSLogin" konfiguriert. Zum Starten des Authentifizierungsprozesses wird ein neues Objekt "javax.security.auth.login.LoginContext" mit dem Anmeldemodulnamen "WSLogin" instanziiert. Mit diesem festgelegten Namen wird das WebSphere Application Server-Anmeldemodul aufgerufen, um die Benutzerregistry-APIs für die Authentifizierung des Principals der Anmeldung aufzurufen. Das WebSphere Application Server-Anmeldemodul kann den Aufruf der Benutzerregistry übergehen, wenn die Kennung und die Gruppenzugehörigkeit bereits als Teil eines Trust Authority Interceptors (TAI) geliefert wurde. Die eindeutige Kennung des Subjekts wird im Element "WSCredential" des Subjekts gespeichert. Die instanzbasierte Zugriffssteuerung von Virtual Member Manager greift auf die eindeutige Kennung des Principals und auf die Gruppenzugehörigkeit zurück, um die Rollenzuordnung und den regelbasierten Zugriff zu ermitteln. Die Kennungen können aus den folgenden Quellen stammen:
Da Virtual Member Manager sowohl die Anmeldeaccounts verwaltet, als auch eine Benutzerregistry-Schnittstelle für die Authentifizierung von Benutzern bietet, betrachtet Virtual Member Manager einen Benutzer sowohl als Subjekt, als auch als Ressource. Die Steuerkomponente für die instanzbasierte Zugriffssteuerung von Virtual Member Manager ermöglicht einem authentifizierten Subjekt den autorisierten Zugriff auf die Ressourcen in Virtual Member Manager. In einigen Fällen sind das Subjekt und die Ressource ein und dasselbe. Folgendes Beispiel illustriert eine selbstverwaltete Kennwortregel:
In dieser Regel wird vorausgesetzt, dass Virtual Member Manager als Benutzerregistry für die WebSphere Application Server-Authentifizierung konfiguriert ist. Sie können jedoch andere Formen der Authentifizierung nutzen (CUR, LDAP UR, TAI-Plug-in), die möglicherweise keine Virtual Member Manager-Kennungen verwenden. Wenn dies der Fall ist und das Repository, das von einer anderen als der Virtual Member Manager-Authentifizierungsmethode verwendet wird, ebenfalls unter Virtual Member Manager als ein Virtual Member Manager-Repository konfiguriert ist, ist das Accountobjekt, mit dem das Subjekt erstellt wird, für Virtual Member Manager bekannt.
Wenn die Virtual Member Manager-Richtlinie für die Zugriffssteuerung mit den Kennungen einer anderen als der Virtual Member Manager-Authentifizierungsplattform erstellt wird, funktioniert zwar die rollenbasierte Zugriffssteuerung von Virtual Member Manager, jedoch wird einer regelbasierten Zugriffsrichtlinie, die Personen- oder Accountobjekte einbezieht, keine Genehmigung erteilt.