Le processus d'authentification de WebSphere Application Server se base sur la méthode définie dans javax.security.auth.login.LoginContext. Dans ce processus d'authentification, WebSphere Application Server fournit un module de connexion qui implémente l'interface SPI javax.security.auth.spi.LoginModule. Ce module de connexion est responsable de l'authentification des principaux de connexion.
WebSphere Application Server LoginModule est configuré dans la classe Java javax.security.auth.login.Configuration avec un nom WSLogin défini par WebSphere Application Server. Pour lancer le processus d'authentification, un nouvel objet javax.security.auth.login.LoginContext est instancié avec le nom WSLogin LoginModule. Avec ce nom spécifié, WebSphere Application Server LoginModule est appelé pour appeler les interfaces API de registre afin d'authentifier le principal de connexion. WebSphere Application Server LoginModule peut ignorer l'appel du registre d'utilisateurs, si l'identificateur et l'appartenance à un groupe ont déjà été fournis comme partie intégrante du Trust Authority Interceptor (TAI). L'identificateur unique du sujet est stocké dans le WSCredential du sujet. Le contrôle d'accès basés sur l'instance virtual member manager repose sur l'identificateur unique du principal et sur l'appartenance à un groupe pour déterminer l'accès réglementé et le mappage de rôle. Les identificateurs peuvent provenir des sources suivantes :
Puisque virtual member manager gère les comptes utilisateur, tout en fournissant une interface de registre d'utilisateurs pour authentifier les utilisateurs, virtual member manager considère l'utilisateur comme un sujet et une ressource. Le moteur du contrôle d'accès basé sur l'instance virtual member manager autorise l'accès du sujet authentifié aux ressources dans virtual member manager. Dans certains cas, le sujet et les ressources sont les mêmes. Voici un exemple d'une règle de mot de passe Self-Care :
La règle suppose que virtual member manager est configuré comme le registre d'utilisateurs pour l'authentification WebSphere Application Server. Toutefois, vous pouvez utiliser d'autres formes d'authentification (modules d'extension TAI, CUR, LDAP UR) sans avoir recours aux identificateurs de virtual member manager. Dans ce cas, et si le référentiel utilisé par une méthode d'authentification différente est également configuré comme un référentiel virtual member manager, alors l'objet de compte utilisé pour générer le sujet est connu de virtual member manager.
Si la règle de contrôle d'accès de virtual member manager est élaborée avec les identificateurs d'une plateforme d'authentification autre que virtual member manager, le contrôle d'accès basé sur le rôle de virtual member manager fonctionne, mais le principe d'accès basé sur la règle impliquant les objets Person et Account ne reçoivent aucune autorisation.