Durch die Konfiguration der Authentifizierung können Sie die Identität
des Anfordernden zuverlässig bestimmen.
WebSphere eXtreme Scale unterstützt
Client/Server- und Server/Server-Authentifizierung.
Authentifizierungsablauf
Abbildung 1. Authentifizierungsablauf
Das vorherige Diagramm zeigt zwei Anwendungsserver.
Der erste Anwendungsserver hostet die Webanwendung, die auch ein Client von WebSphere eXtreme Scale ist.
Der zweite Anwendungsserver hostet einen Container-Server.
Der Katalogserver wird in einer eigenständigen Java Virtual Machine (JVM) und nicht in WebSphere Application
Server
ausgeführt.
Die mit Zahlen markierten Pfeile im Diagramm veranschaulichen den Authentifizierungsablauf:
- Der Benutzer der Unternehmensanwendung greift auf den Web-Browser
zu und meldet sich mit einem Benutzernamen und einem Kennwort beim ersten
Anwendungsserver an.
Der erste Anwendungsserver sendet den Benutzernamen und das Kennwort des Clients zur Authentifizierung in der Benutzerregistry
an die Sicherheitsinfrastruktur.
Diese Benutzerregistry ist ein Keystore. Deshalb sind die Sicherheitsinformationen im Thread von
WebSphere Application
Server gespeichert.
- Die JSP-Datei (JavaServer Pages) tritt als eXtreme-Scale-Client auf, um die Sicherheitsinformationen aus der
Clienteigenschaftendatei abzurufen.
Die JSP-Anwendung, die als Client von WebSphere eXtreme Scale auftritt, sendet den Sicherheitsberechtigungsnachweis des Clients
von WebSphere eXtreme Scale zusammen mit der Anforderung an den Katalogserver.
Das Senden des Sicherheitsberechtigungsnachweises zusammen mit der Anforderung wird als
RunAs-Modell betrachtet.
In einem RunAs-Modell wird der Web-Browser-Client als Client von
WebSphere eXtreme Scale ausgeführt, um auf die im Container-Server gespeicherten Daten zuzugreifen.
Der Client verwendet einen JVM-weiten Clientberechtigungsnachweis für die Herstellung der Verbindung zu den
eXtreme-Scale-Servern.
Die Verwendung des RunAs-Modells gleicht dem Herstellen einer Verbindung zu einer Datenbank mit einer Benutzer-ID und einem Kennwort auf Datenquellenebene.
- Der Katalogserver empfängt den eXtreme-Scale-Clientberechtigungsnachweis, der die Sicherheitstoken von
WebSphere Application
Server enthält.
Anschließend ruft der Katalogserver das Authentifikator-Plug-in für die Authentifizierung des Clientberechtigungsnachweises
auf.
Der Authentifikator stellt die Verbindung zur externen Benutzerregistry her und sendet den Clientberechtigungsnachweis
zur Authentifizierung an die Benutzerregistry.
- Der Client sendet die Benutzer-ID und das Kennwort an den Container-Server, der vom Anwendungsserver gehostet wird.
- Der im Anwendungsserver gehostete Container-Service empfängt den eXtreme-Scale-Clientberechtigungsnachweis, der aus einer Benutzer-ID und einem Kennwort besteht.
Anschließend ruft der Container-Server das Authentifikator-Plug-in zur Authentifizierung des Clientberechtigungsnachweises auf.
Der Authentifikator stellt die Verbindung zur Benutzerregistry des Keystores her und sendet den Clientberechtigungsnachweis
zur Authentifizierung an die Benutzerregistry.
Lernziele
Anhand der
Übungen in diesem Modul lernen Sie Folgendes:
- eXtreme-Scale-Clientsicherheit konfigurieren
- eXtreme-Scale-Katalagserversicherheit konfigurieren
- eXtreme-Scale-Container-Server-Sicherheit konfigurieren
- Installieren Sie die Beispielanwendung, und führen Sie sie aus.
Erforderliche Zeit
Das Durcharbeiten
dieses Moduls dauert ungefähr 60 Minuten.