O processo de autenticação do WebSphere Application Server é baseado no mecanismo definido em javax.security.auth.login.LoginContext. Nesse processo de autenticação, o WebSphere Application Server fornece um módulo de login que implementa a interface SPI javax.security.auth.spi.LoginModule. O módulo de login é responsável pela autenticação dos logins principais.
LoginModule do WebSphere Application Server está configurado na classe Java javax.security.auth.login.Configuration com o nome WSLogin definido pelo WebSphere Application Server. Para iniciar o processo de autenticação, um novo objeto javax.security.auth.login.LoginContext é instanciado com o nome WSLogin de LoginModule. Com esse nome especificado, o LoginModule do WebSphere Application Server é chamado para invocar as APIs de registro do usuário para autenticar o login principal. O LoginModule do WebSphere Application Server poderá contornar a chamada para o registro do usuário, se o identificador e o membro do grupo já tiver sido fornecido como parte de um TAI (Interceptor de Autoridade Confiável). O identificador exclusivo do sujeito é armazenado em WSCredential, no sujeito. ~A instância do virtual member manager baseada no controle de acesso conta com o identificador exclusivo do principal e do membro do grupo para determinar o mapeamento da função e o acesso baseado em regras. Os identificadores têm origem em:
Como o virtual member manager gerencia as contas de login, bem como fornece uma interface de Registro de Usuário para autenticar usuários, o virtual member manager vê o usuário como sujeito e recurso. O mecanismo de controle de acesso baseado na instância do virtual member manager permite ao sujeito autenticado o acesso autorizado aos recursos do virtual member manager. Em alguns casos, o sujeito e o recurso são iguais. A seguir, há um exemplo de regra de senha de auto-atendimento:
A regra assume que o virtual member manager é configurado como o Usuário de Registro para autenticação do WebSphere Application Server. No entanto, você pode usar outras formas de autenticação (plug-in CUR, LDAP UR, TAI) que podem não estar usando identificadores do virtual member manager. Se isso ocorrer e o mesmo repositório usado pelo método de autenticação do gerenciador de membros não virtual também for configurado no virtual member manager como o repositório do virtual member manager, o objeto de conta usado para criar o sujeito também será conhecido ao virtual member manager.
Se a política de controle de acesso do virtual member manager for criada com os identificadores da plataforma de autenticação do gerenciador de membros não virtual, o controle de acesso baseado em função do virtual member manager funcionará, mas a política de acesso baseada em regras que envolve os objetos Person ou Account não terão permissão.