Integração de Segurança com o WebSphere Application Server

Quando o WebSphere eXtreme Scale é implementada em um ambiente do WebSphere Application Server, é possível simplificar a configuração de segurança do fluxo de autenticação e da camada de transporte a partir do WebSphere Application Server.

Fluxo de Autenticação Simplificada

Quando os clientes e servidores do eXtreme Scale estão em execução no WebSphere Application Server e no mesmo domínio de segurança, é possível usar a infraestrutura de segurança do WebSphere Application Server para propagar as credenciais de autenticação do cliente para o servidor do eXtreme Scale. Por exemplo, se um servlet atuar como um cliente do eXtreme Scale para se conectar a um servidor do eXtreme Scale no mesmo domínio de segurança, e o servlet já estiver autenticado, é possível propagar o token de autenticação do cliente (servlet) para o servidor e, em seguida, usar a infraestrutura de segurança do WebSphere Application Server para converter o token de autenticação de volta para as credenciais do cliente.

Figura 1. Fluxo de Autenticação para Servidores Dentro do Mesmo Domínio de Segurança
Todos os servidores de aplicativos estão em um domínio de segurança comum.
No diagrama anterior, os servidores de aplicativos estão no mesmo domínio de segurança. Um servidor de aplicativos hospeda o aplicativo da web, que também é um cliente do eXtreme Scale. O outro servidor de aplicativos hospeda o servidor de contêiner. A Java Virtual Machine (JVM) do gerenciador de implementação ou do agente do nó hospeda o serviço de catálogo. As setas no diagrama indicam como o processo de autenticação flui:
  1. Um usuário do aplicativo corporativo usa um navegador da web para efetuar login no primeiro servidor de aplicativos com um nome de usuário e senha.
  2. O primeiro servidor de aplicativos envia o nome de usuário e a senha do cliente para a infraestrutura de segurança do WebSphere Application Server para autenticar-se com o registro do usuário. Por exemplo, este registro do usuário pode ser um servidor LDAP. Como resultado, as informações de segurança são armazenadas no encadeamento do servidor de aplicativos.
  3. O arquivo JavaServer Pages (JSP) age como um cliente do eXtreme Scale para recuperar as informações de segurança a partir do encadeamento do servidor. O arquivo JSP chama a infraestrutura de segurança do WebSphere Application Server para obter os tokens de segurança que representam o usuário do aplicativo corporativo.
  4. O cliente ou o arquivo JSP do eXtreme Scale envia os tokens de segurança com a solicitação para o servidor de contêiner e para o serviço de catálogo hospedados nas outras JVMs. O servidor de catálogos e o servidor de contêiner usam os tokens de segurança do WebSphere Application Server como uma credencial de cliente do eXtreme Scale.
  5. Os servidores de catálogos e contêiner enviam os tokens de segurança para a infraestrutura de segurança do WebSphere Application Server para converter os tokens de segurança em informações de segurança do usuário. Essas informações de segurança do usuário são representadas por um objeto Subject, que contém os principais, as credenciais públicas e credenciais privadas. Essa conversão pode ocorrer porque os servidores de aplicativos que hospedam o cliente, um servidor de catálogos e um servidor de contêiner do eXtreme Scale compartilham os mesmos tokens WebSphere Application Server Lightweight Third-Party Authentication (LTPA).

Integração de Autenticação

Integração de segurança distribuída com o WebSphere Application Server:

Para o modelo distribuído, use as seguintes classes:
  • com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenCredentialGenerator
  • com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenAuthenticator
  • com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenCredential

Para obter exemplos sobre como usar essas classes, consulte Tutorial: Integrar a Segurança do WebSphere eXtreme Scale com o WebSphere Application Server.

No lado do servidor, o WSTokenAuthentication pode ser utilizado como o autenticador para autenticar o objeto WSTokenCredential.

Integração de segurança local com o WebSphere Application Server:

Para o modelo de ObjectGrid local, use as seguintes classes:
  • com.ibm.websphere.objectgrid.security.plugins.builtins.WSSubjectSourceImpl
  • com.ibm.websphere.objectgrid.security.plugins.builtins.WSSubjectValidationImpl

Para obter mais informações sobre essas classes, consulte Programação de Segurança Local. É possível configurar a classe WSSubjectSourceImpl como o plug-in SubjectSource e a classe WSSubjectValidationImpl como o plug-in SubjectValidation.

Suporte à Segurança da Camada de Transporte no WebSphere Application Server

Quando um cliente, um servidor de contêiner ou servidor de catálogos do eXtreme Scale está em execução em um processo do WebSphere Application Server, a segurança de transporte do eXtreme Scale é gerenciada pelas configurações de transporte do WebSphere Application Server CSIV2. Para o cliente ou servidor de contêiner do eXtreme Scale,as propriedades do cliente ou de servidor do eXtreme Scale não devem ser usadas para definir as configurações SSL. Todas as configurações SSL devem ser especificadas na configuração do WebSphere Application Server.

Entretanto, o servidor de catálogos é um pouco diferente. O servidor de catálogos tem seus próprios caminhos de transporte proprietários que não podem ser gerenciados pelas configurações de transporte do WebSphere Application Server CSIV2. Portanto, as propriedades de SSL ainda precisam ser configuradas no arquivo de propriedades do servidor para o servidor de catálogos. Consulte o Tutorial: Integrar a Segurança do WebSphere eXtreme Scale com o WebSphere Application Server para obter informações adicionais.