WSCredential und Virtual Member Manager-Zugriffssteuerung

Der Authentifizierungsprozess von WebSphere Application Server basiert auf dem Mechanismus, der in "javax.security.auth.login.LoginContext" definiert ist. In dem Authentifizierungsprozess stellt WebSphere Application Server ein Anmeldemodul bereit, das die SPI-Schnittstelle "javax.security.auth.spi.LoginModule" implementiert. Das Anmeldemodul ist für die Authentifizierung der Principals der Anmeldung verantwortlich.

Das WebSphere Application Server-Anmeldemodul wird in der Java-Klasse "javax.security.auth.login.Configuration" mit dem definierten WebSphere Application Server-Namen "WSLogin" konfiguriert. Zum Starten des Authentifizierungsprozesses wird ein neues Objekt "javax.security.auth.login.LoginContext" mit dem Anmeldemodulnamen "WSLogin" instanziiert. Mit diesem festgelegten Namen wird das WebSphere Application Server-Anmeldemodul aufgerufen, um die Benutzerregistry-APIs für die Authentifizierung des Principals der Anmeldung aufzurufen. Das WebSphere Application Server-Anmeldemodul kann den Aufruf der Benutzerregistry übergehen, wenn die Kennung und die Gruppenzugehörigkeit bereits als Teil eines Trust Authority Interceptors (TAI) geliefert wurde. Die eindeutige Kennung des Subjekts wird im Element "WSCredential" des Subjekts gespeichert. Die instanzbasierte Zugriffssteuerung von Virtual Member Manager greift auf die eindeutige Kennung des Principals und auf die Gruppenzugehörigkeit zurück, um die Rollenzuordnung und den regelbasierten Zugriff zu ermitteln. Die Kennungen können aus den folgenden Quellen stammen:

Authentifizierungsregeln

Da Virtual Member Manager sowohl die Anmeldeaccounts verwaltet, als auch eine Benutzerregistry-Schnittstelle für die Authentifizierung von Benutzern bietet, betrachtet Virtual Member Manager einen Benutzer sowohl als Subjekt, als auch als Ressource. Die Steuerkomponente für die instanzbasierte Zugriffssteuerung von Virtual Member Manager ermöglicht einem authentifizierten Subjekt den autorisierten Zugriff auf die Ressourcen in Virtual Member Manager. In einigen Fällen sind das Subjekt und die Ressource ein und dasselbe. Folgendes Beispiel illustriert eine selbstverwaltete Kennwortregel:

In dieser Regel wird vorausgesetzt, dass Virtual Member Manager als Benutzerregistry für die WebSphere Application Server-Authentifizierung konfiguriert ist. Sie können jedoch andere Formen der Authentifizierung nutzen (CUR, LDAP UR, TAI-Plug-in), die möglicherweise keine Virtual Member Manager-Kennungen verwenden. Wenn dies der Fall ist und das Repository, das von einer anderen als der Virtual Member Manager-Authentifizierungsmethode verwendet wird, ebenfalls unter Virtual Member Manager als ein Virtual Member Manager-Repository konfiguriert ist, ist das Accountobjekt, mit dem das Subjekt erstellt wird, für Virtual Member Manager bekannt.

Wenn die Virtual Member Manager-Richtlinie für die Zugriffssteuerung mit den Kennungen einer anderen als der Virtual Member Manager-Authentifizierungsplattform erstellt wird, funktioniert zwar die rollenbasierte Zugriffssteuerung von Virtual Member Manager, jedoch wird einer regelbasierten Zugriffsrichtlinie, die Personen- oder Accountobjekte einbezieht, keine Genehmigung erteilt.

Regelbasierte bedingte Genehmigungen, die Virtual Member Manager-Ressourcen als Subjekt enthalten (z. B. wenn das Subjekt der Eigner oder Manager ist), werden erteilt, wenn im Element "WSCredential" VMM-kompatible Kennungen für den Principal verwendet werden. Regelbasierter Zugriff auf Virtual Member Manager-Ressourcen ist nur verfügbar, wenn alle der folgenden Bedingungen erfüllt sind:
  • Virtual Member Manager ist als Benutzerregistry oder als alternative Benutzerregistry konfiguriert.
  • Virtual Member Manager ist so konfiguriert, das er dieselben Kennungen hat (Beispiel: die LDAP-Benutzerregistry ist als ein Repository konfiguriert, das den definierten Namen als Kennung verwendet).
  • Virtual Member Manager ist mit einem Realm konfiguriert, der denselben LDAP-Server enthält, der durch den definierten Namen identifiziert wird.


Rechtliche Hinweise | Feedback