Integration der Sicherheit mit WebSphere Application Server

Wenn WebSphere eXtreme Scale in einer Umgebung von WebSphere Application Server implementiert ist, können Sie die Konfiguration des Authentifizierungsablaufs und der Transportsicherheit über WebSphere Application Server vereinfachen.

Vereinfachter Authentifizierungsablauf

Wenn eXtreme-Scale-Clients und -Server in WebSphere Application Server und in derselben Sicherheitsdomäne ausgeführt werden, können Sie die Sicherheitsinfrastruktur von WebSphere Application Server verwenden, um die Berechtigungsnachweise für die Clientauthentifizierung an den eXtreme-Scale-Server weiterzugeben. Versucht ein Servlet beispielsweise als eXtreme-Scale-Client eine Verbindung zu einem eXtreme-Scale-Server in derselben Sicherheitsdomäne herzustellen und ist das Servlet bereits authentifiziert, kann das Authentifizierungstoken von Client (Servlet) an den Server weitergegeben und anschließend die Sicherheitsinfrastruktur von WebSphere Application Server verwendet werden, um das Authentifizierungstoken an die Clientberechtigungsnachweise zurückzugeben.

Abbildung 1. Authentifizierungsablauf für Server in derselben Sicherheitsdomäne
Alle Anwendungsserver befinden sich in einer gemeinsamen Sicherheitsdomäne.
In der vorherigen Abbildung befinden sich die Anwendungsserver in derselben Sicherheitsdomäne. Ein Anwendungsserver hostet die Webanwendung, die auch ein eXtreme-Scale-Client ist. Der andere Anwendungsserver hostet den Container-Server. Die JVM des Deployment Manager bzw. Node Agent hostet den Katalogservice. Die Pfeile in der Abbildung zeigen den Ablauf des Authentifizierungsprozesses an:
  1. Ein Unternehmensanwendungsbenutzer verwendet einen Web-Browser, um sich beim ersten Anwendungsserver mit einem Benutzernamen und einem Kennwort anzumelden.
  2. Der erste Anwendungsserver sendet den Clientbenutzernamen und das Kennwort an die Sicherheitsinfrastruktur von WebSphere Application Server, um sich bei der Benutzerregistry zu authentifizieren. Diese Benutzerregistry kann beispielsweise ein LDAP-Server sein. Deshalb werden die Sicherheitsinformationen im Thread des Anwendungsservers gespeichert.
  3. Die JSP-Datei (JavaServer Pages) dient als eXtreme-Scale-Client, um die Sicherheitsinformationen vom Server-Thread abzurufen. Die JSP-Datei ruft die Sicherheitsinfrastruktur von WebSphere Application Server auf, um die Sicherheitstoken abzurufen, die den Unternehmensanwendungsbenutzer darstellen.
  4. Der eXtreme-Scale-Client bzw. die JSP-Datei sendet die Sicherheitstoken mit der Anforderung an den Container-Server und den Katalogservice, der in den anderen JVMs gehostet wird. Der Katalogserver und der Container-Server verwenden die Sicherheitstoken von WebSphere Application Server als eXtreme-Scale-Clientberechtigungsnachweis.
  5. Die Katalog- und Container-Server senden die Sicherheitstoken an die Sicherheitsinfrastruktur von WebSphere Application Server, um die Sicherheitstoken in Benutzersicherheitsinformationen zu konvertieren. Diese Benutzersicherheitsinformationen werden durch ein Objekt Subject dargestellt, das die Principals, öffentlichen Berechtigungsnachweise und privaten Berechtigungsnachweise enthält. Diese Konvertierung kann stattfinden, weil die Anwendungsserver, die den eXtreme-Scale-Client, Katalogserver und Container-Server hosten, dieselben LDAP-Token (WebSphere Application Server Lightweight Third-Party Authentication) nutzen.

Integration der Authentifizierung

Verteilte Sicherheitsintegration mit WebSphere Application Server:

Verwenden Sie für das verteilte Modell die folgenden Klassen:
  • com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenCredentialGenerator
  • com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenAuthenticator
  • com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenCredential

Beispiele für die Verwendung dieser Klassen finden Sie unter Lernprogramm: Sicherheit von WebSphere eXtreme Scale mit WebSphere Application Server integrieren.

Verwenden Sie serverseitig den WSTokenAuthentication-Authentifikator, um das WSTokenCredential-Objekt zu authentifizieren.

Lokale Sicherheitsintegration mit WebSphere Application Server:

Verwenden Sie für das lokale ObjectGrid-Modell die folgenden Klassen:
  • com.ibm.websphere.objectgrid.security.plugins.builtins.WSSubjectSourceImpl
  • com.ibm.websphere.objectgrid.security.plugins.builtins.WSSubjectValidationImpl

Weitere Informationen zu diesen Klassen finden Sie unter Lokale Programmierung der Sicherheit. Sie können die Klasse "WSSubjectSourceImpl" als SubjectSource-Plug-in und die Klasse "WSSubjectValidationImpl" als SubjectValidation-Plug-in konfigurieren.

Unterstützung der Transportsicherheit in WebSphere Application Server

Wenn ein eXtreme-Scale-Client, -Container-Server oder -Katalogserver in einem Prozess von WebSphere Application Server ausgeführt wird, wird die Transportsicherheit von eXtreme Scale mit den CSIv2-Transporteinstellungen von WebSphere Application Server verwaltet. Für den eXtreme-Scale-Client oder -Container-Server sollten Sie die SSL-Einstellungen nicht über die Eigenschaften des eXtreme-Scale-Clients oder -Servers konfigurieren. Alle SSL-Einstellungen müssen in der Konfiguration von WebSphere Application Server angegeben werden.

Der Katalogserver ist jedoch ein wenig anders. Der Katalogserver hat eigene proprietäre Transportpfade, die nicht mit den CSIv2-Transporteinstellungen von WebSphere Application Server verwaltet werden können. Deshalb müssen die SSL-Eigenschaften weiterhin in der Servereigenschaftendatei für den Katalogserver konfiguriert werden. Weitere Informationen finden Sie unter Lernprogramm: Sicherheit von WebSphere eXtreme Scale mit WebSphere Application Server integrieren.