Contrôle d'accès virtual member manager et WSCredential

Le processus d'authentification de WebSphere Application Server se base sur la méthode définie dans javax.security.auth.login.LoginContext. Dans ce processus d'authentification, WebSphere Application Server fournit un module de connexion qui implémente l'interface SPI javax.security.auth.spi.LoginModule. Ce module de connexion est responsable de l'authentification des principaux de connexion.

WebSphere Application Server LoginModule est configuré dans la classe Java javax.security.auth.login.Configuration avec un nom WSLogin défini par WebSphere Application Server. Pour lancer le processus d'authentification, un nouvel objet javax.security.auth.login.LoginContext est instancié avec le nom WSLogin LoginModule. Avec ce nom spécifié, WebSphere Application Server LoginModule est appelé pour appeler les interfaces API de registre afin d'authentifier le principal de connexion. WebSphere Application Server LoginModule peut ignorer l'appel du registre d'utilisateurs, si l'identificateur et l'appartenance à un groupe ont déjà été fournis comme partie intégrante du Trust Authority Interceptor (TAI). L'identificateur unique du sujet est stocké dans le WSCredential du sujet. Le contrôle d'accès basés sur l'instance virtual member manager repose sur l'identificateur unique du principal et sur l'appartenance à un groupe pour déterminer l'accès réglementé et le mappage de rôle. Les identificateurs peuvent provenir des sources suivantes :

Règles d'authentification

Puisque virtual member manager gère les comptes utilisateur, tout en fournissant une interface de registre d'utilisateurs pour authentifier les utilisateurs, virtual member manager considère l'utilisateur comme un sujet et une ressource. Le moteur du contrôle d'accès basé sur l'instance virtual member manager autorise l'accès du sujet authentifié aux ressources dans virtual member manager. Dans certains cas, le sujet et les ressources sont les mêmes. Voici un exemple d'une règle de mot de passe Self-Care :

La règle suppose que virtual member manager est configuré comme le registre d'utilisateurs pour l'authentification WebSphere Application Server. Toutefois, vous pouvez utiliser d'autres formes d'authentification (modules d'extension TAI, CUR, LDAP UR) sans avoir recours aux identificateurs de virtual member manager. Dans ce cas, et si le référentiel utilisé par une méthode d'authentification différente est également configuré comme un référentiel virtual member manager, alors l'objet de compte utilisé pour générer le sujet est connu de virtual member manager.

Si la règle de contrôle d'accès de virtual member manager est élaborée avec les identificateurs d'une plateforme d'authentification autre que virtual member manager, le contrôle d'accès basé sur le rôle de virtual member manager fonctionne, mais le principe d'accès basé sur la règle impliquant les objets Person et Account ne reçoivent aucune autorisation.

Les autorisations conditionnelles à base de règles contenant des ressources virtual member manager comme sujet (si le sujet est le propriétaire ou le gestionnaire, par exemple) sont octroyées, si vous utilisez les identificateurs compatibles virtual member manager avec le principal de WSCredential. L'accès réglementé aux ressources virtual member manager est disponible uniquement quand toutes les conditions suivantes sont remplies :
  • virtual member manager est configuré comme un registre d'utilisateurs, ou comme le registre d'utilisateurs de remplacement.
  • virtual member manager est configuré pour avoir les mêmes identificateurs (le registre d'utilisateurs LDAP est configuré comme un référentiel utilisant le nom spécifique comme identificateur, par exemple).
  • virtual member manager est configuré avec un domaine qui contient le même serveur LDAP identifié par le nom spécifique.


Conditions d'utilisation | Commentaires