Wenn WebSphere eXtreme Scale
in einer Umgebung von WebSphere Application
Server
implementiert ist, können Sie die Konfiguration des Authentifizierungsablaufs und der Transportsicherheit
über WebSphere Application
Server vereinfachen.
Vereinfachter Authentifizierungsablauf
Wenn eXtreme-Scale-Clients
und -Server in WebSphere Application
Server und in derselben Sicherheitsdomäne
ausgeführt werden, können Sie die Sicherheitsinfrastruktur von WebSphere Application
Server
verwenden, um die Berechtigungsnachweise für die Clientauthentifizierung an den eXtreme-Scale-Server weiterzugeben.
Versucht ein Servlet beispielsweise als eXtreme-Scale-Client eine Verbindung zu einem eXtreme-Scale-Server in derselben Sicherheitsdomäne herzustellen und ist das
Servlet bereits authentifiziert, kann das Authentifizierungstoken von Client (Servlet) an den
Server weitergegeben und anschließend die Sicherheitsinfrastruktur von WebSphere Application
Server
verwendet werden, um das Authentifizierungstoken an die Clientberechtigungsnachweise zurückzugeben.
Abbildung 1. Authentifizierungsablauf für Server in derselben Sicherheitsdomäne
In der
vorherigen Abbildung befinden sich die Anwendungsserver in derselben Sicherheitsdomäne.
Ein Anwendungsserver hostet die Webanwendung, die auch ein
eXtreme-Scale-Client ist.
Der andere Anwendungsserver hostet den Container-Server. Die JVM des Deployment Manager
bzw. Node Agent hostet den Katalogservice.
Die Pfeile in der Abbildung zeigen den Ablauf des Authentifizierungsprozesses an:
- Ein Unternehmensanwendungsbenutzer verwendet einen Web-Browser, um sich beim ersten Anwendungsserver mit einem Benutzernamen und einem Kennwort anzumelden.
- Der erste Anwendungsserver sendet den Clientbenutzernamen und das Kennwort an die Sicherheitsinfrastruktur von
WebSphere Application
Server,
um sich bei der Benutzerregistry zu authentifizieren. Diese Benutzerregistry
kann beispielsweise ein LDAP-Server sein.
Deshalb werden die Sicherheitsinformationen im Thread des Anwendungsservers gespeichert.
- Die JSP-Datei (JavaServer Pages) dient als eXtreme-Scale-Client, um die Sicherheitsinformationen
vom Server-Thread abzurufen. Die JSP-Datei ruft die Sicherheitsinfrastruktur von
WebSphere Application
Server auf, um die Sicherheitstoken abzurufen,
die den Unternehmensanwendungsbenutzer darstellen.
- Der eXtreme-Scale-Client bzw. die JSP-Datei sendet
die Sicherheitstoken mit der Anforderung an den Container-Server und den Katalogservice, der in den anderen JVMs gehostet wird.
Der Katalogserver und der Container-Server verwenden die Sicherheitstoken von
WebSphere Application
Server
als eXtreme-Scale-Clientberechtigungsnachweis.
- Die Katalog- und Container-Server senden die Sicherheitstoken an die Sicherheitsinfrastruktur von
WebSphere Application
Server,
um die Sicherheitstoken in Benutzersicherheitsinformationen zu konvertieren.
Diese Benutzersicherheitsinformationen werden durch ein Objekt Subject
dargestellt, das die Principals, öffentlichen Berechtigungsnachweise und privaten Berechtigungsnachweise enthält.
Diese Konvertierung kann stattfinden, weil die Anwendungsserver, die den
eXtreme-Scale-Client, Katalogserver und Container-Server hosten, dieselben LDAP-Token (WebSphere Application
Server Lightweight
Third-Party Authentication) nutzen.
Integration der Authentifizierung
Verteilte
Sicherheitsintegration mit WebSphere Application
Server:
Verwenden Sie für das
verteilte Modell die folgenden Klassen:
- com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenCredentialGenerator
- com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenAuthenticator
- com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenCredential
Beispiele
für die Verwendung dieser Klassen finden Sie unter Lernprogramm: Sicherheit von WebSphere eXtreme Scale mit WebSphere Application Server integrieren.
Verwenden Sie serverseitig den WSTokenAuthentication-Authentifikator, um das WSTokenCredential-Objekt zu authentifizieren.
Lokale Sicherheitsintegration mit WebSphere Application
Server:
Verwenden Sie für
das lokale ObjectGrid-Modell die folgenden Klassen:
- com.ibm.websphere.objectgrid.security.plugins.builtins.WSSubjectSourceImpl
- com.ibm.websphere.objectgrid.security.plugins.builtins.WSSubjectValidationImpl
Weitere
Informationen zu diesen Klassen finden Sie unter Lokale Programmierung der Sicherheit. Sie können die Klasse
"WSSubjectSourceImpl" als SubjectSource-Plug-in und die Klasse "WSSubjectValidationImpl" als SubjectValidation-Plug-in konfigurieren.
Unterstützung der Transportsicherheit in WebSphere Application
Server
Wenn ein
eXtreme-Scale-Client, -Container-Server oder -Katalogserver
in einem Prozess von WebSphere Application
Server ausgeführt wird,
wird die Transportsicherheit von eXtreme Scale
mit den CSIv2-Transporteinstellungen von WebSphere Application
Server verwaltet.
Für den eXtreme-Scale-Client oder -Container-Server
sollten Sie die SSL-Einstellungen nicht über die Eigenschaften des eXtreme-Scale-Clients oder -Servers
konfigurieren.
Alle SSL-Einstellungen müssen in der Konfiguration von
WebSphere Application
Server angegeben werden.
Der Katalogserver ist jedoch ein wenig anders.
Der Katalogserver hat eigene proprietäre Transportpfade, die nicht mit den CSIv2-Transporteinstellungen von
WebSphere Application
Server verwaltet werden können.
Deshalb müssen die SSL-Eigenschaften weiterhin in der Servereigenschaftendatei
für den Katalogserver konfiguriert werden.
Weitere Informationen finden Sie unter Lernprogramm: Sicherheit von WebSphere eXtreme Scale mit WebSphere Application Server integrieren.