El proceso de autenticación de WebSphere Application Server se basa en el mecanismo definido en javax.security.auth.login.LoginContext. En este proceso de autenticación, WebSphere Application Server proporciona un módulo de inicio de sesión que implementa la interfaz SPI javax.security.auth.spi.LoginModule. El módulo de inicio de sesión es responsable de autenticar los principales de inicio de sesión.
LoginModule de WebSphere Application Server se ha configurado en la clase Java javax.security.auth.login.Configuration con el WSLogin de nombre definido por el WebSphere Application Server. Para iniciar el proceso de autenticación, se crea una instancia de un nuevo objeto javax.security.auth.login.LoginContext con el WSLogin de nombre LoginModule. Con este nombre especificado, el LoginModule de WebSphere Application Server se invoca para llamar a las API de registro de usuarios para autenticar el principal del inicio de sesión. El LoginModule de WebSphere Application Server puede omitir la llamada al registro de usuarios, si el identificador y la pertenencia de grupo ya se ha proporcionado como parte de un TAI (interceptor de asociación de confianza). El identificador exclusivo del sujeto se almacena en la WSCredential del sujeto. El control de acceso basado en instancias del virtual member manager depende del identificador exclusivo del principal y de la pertenencia al grupo para determinar la correlación de roles y el acceso basado en reglas. Los identificadores pueden proceder de las siguientes fuentes:
Dado que el virtual member manager gestiona las cuentas de inicio de sesión y además proporciona una interfaz Registro de usuarios para autentificar a los usuarios, ve al usuario como un sujeto a la vez que como un recurso. El motor de control de acceso basado en la instancia del virtual member manager permite el acceso autorizado de un sujeto autentificado a los recursos del virtual member manager. En algunos casos el sujeto y el recurso son los mismos. El ejemplo siguiente muestra una regla de contraseña de automantenimiento:
La regla presupone que el virtual member manager está configurado como el Registro de usuarios para la autentificación de WebSphere Application Server. No obstante, se pueden utilizar otras formas de autentificación (CUR, LDAP UR, TAI plugin) que tal vez no utilicen los identificadores del virtual member manager. En caso de que suceda esto y si el mismo depósito utilizado por el método de autentificación del gestor de miembros no virtuales también está configurado bajo el virtual member manager como un depósito del virtual member manager, el objeto de la cuenta que se utiliza para crear el sujeto es conocido ante el virtual member manager.
Si la política de control de acceso del virtual member manager se crea con los identificadores de la plataforma de autentificación del gestor de miembros no virtuales, el control de acceso basado en reglas del virtual member manager funciona, pero en la política de acceso basada en reglas relativa a los objetos Person o Account no se conceden permisos.