Controle de Acesso do Virtual member manager e WSCredential

O processo de autenticação do WebSphere Application Server é baseado no mecanismo definido em javax.security.auth.login.LoginContext. Nesse processo de autenticação, o WebSphere Application Server fornece um módulo de login que implementa a interface SPI javax.security.auth.spi.LoginModule. O módulo de login é responsável pela autenticação dos logins principais.

LoginModule do WebSphere Application Server está configurado na classe Java javax.security.auth.login.Configuration com o nome WSLogin definido pelo WebSphere Application Server. Para iniciar o processo de autenticação, um novo objeto javax.security.auth.login.LoginContext é instanciado com o nome WSLogin de LoginModule. Com esse nome especificado, o LoginModule do WebSphere Application Server é chamado para invocar as APIs de registro do usuário para autenticar o login principal. O LoginModule do WebSphere Application Server poderá contornar a chamada para o registro do usuário, se o identificador e o membro do grupo já tiver sido fornecido como parte de um TAI (Interceptor de Autoridade Confiável). O identificador exclusivo do sujeito é armazenado em WSCredential, no sujeito. ~A instância do virtual member manager baseada no controle de acesso conta com o identificador exclusivo do principal e do membro do grupo para determinar o mapeamento da função e o acesso baseado em regras. Os identificadores têm origem em:

Regras de Autenticação

Como o virtual member manager gerencia as contas de login, bem como fornece uma interface de Registro de Usuário para autenticar usuários, o virtual member manager vê o usuário como sujeito e recurso. O mecanismo de controle de acesso baseado na instância do virtual member manager permite ao sujeito autenticado o acesso autorizado aos recursos do virtual member manager. Em alguns casos, o sujeito e o recurso são iguais. A seguir, há um exemplo de regra de senha de auto-atendimento:

A regra assume que o virtual member manager é configurado como o Usuário de Registro para autenticação do WebSphere Application Server. No entanto, você pode usar outras formas de autenticação (plug-in CUR, LDAP UR, TAI) que podem não estar usando identificadores do virtual member manager. Se isso ocorrer e o mesmo repositório usado pelo método de autenticação do gerenciador de membros não virtual também for configurado no virtual member manager como o repositório do virtual member manager, o objeto de conta usado para criar o sujeito também será conhecido ao virtual member manager.

Se a política de controle de acesso do virtual member manager for criada com os identificadores da plataforma de autenticação do gerenciador de membros não virtual, o controle de acesso baseado em função do virtual member manager funcionará, mas a política de acesso baseada em regras que envolve os objetos Person ou Account não terão permissão.

As permissões condicionais baseadas em regras que contêm recursos do virtual member manager como o sujeito (por exemplo, se o sujeito for o proprietário ou o gerenciador) serão concedidas se identificadores compatíveis com o virtual member manager do principal forem usados em WSCredential. O acesso baseado em regras dos recursos do virtual member manager estarão disponíveis apenas quando todas as seguintes condições forem aplicadas:
  • o virtual member manager é configurado como o registro de usuário ou como o registro de usuário alternativo.
  • o virtual member manager é configurado para ter os mesmos identificadores (por exemplo, o registro do usuário LDAP é configurado como um repositório utilizando um DN como identificador).
  • o virtual member manager é configurado com uma região que contém o mesmo servidor LDAP identificado pelo DN.


Termos de uso | Feedback