Integración de la seguridad con WebSphere Application Server

Cuando WebSphere eXtreme Scale se despliega en un entorno de WebSphere Application Server, puede simplificar el flujo de autenticación y la configuración de la seguridad de la capa de transporte desde WebSphere Application Server.

Flujo de autenticación simplificado

Cuando los clientes y los servidores eXtreme Scale se ejecutan en WebSphere Application Server y en el mismo dominio de seguridad, puede utilizar la infraestructura de seguridad de WebSphere Application Server para propagar las credenciales de autenticación de cliente en el servidor eXtreme Scale. Por ejemplo, si un servlet actúa como un cliente de eXtreme Scale para conectarse a un servidor eXtreme Scale en el mismo dominio de seguridad, y el servlet ya ha sido autenticado, es posible propagar la señal de autenticación del cliente (servlet) al servidor y, a continuación, utilice la infraestructura de seguridad de WebSphere Application Server para volver a convertir la señal de autenticación a las credenciales de cliente.

Figura 1. Flujo de autenticación para servidores en el mismo dominio de seguridad
Todos los servidores de aplicaciones se encuentran en un dominio de seguridad común.
En el diagrama anterior, los servidores de aplicaciones se encuentran en el mismo dominio de seguridad. Un servidor de aplicaciones aloja la aplicación web, que es también un cliente de eXtreme Scale. El otro servidor de aplicaciones aloja el servidor de contenedor. El gestor de despliegue o la máquina virtual Java (JVM) del agente del nodo aloja el servicio de catálogo. Las flechas del diagrama indican cómo fluye el proceso de autenticación:
  1. Un usuario de aplicación empresarial utiliza un navegador web para iniciar la sesión en el primer servidor de aplicaciones con un nombre de usuario y una contraseña.
  2. El primer servidor de aplicaciones envía el nombre de usuario y la contraseña del cliente a la infraestructura de seguridad de WebSphere Application Server para la autenticación en el registro de usuarios. Por ejemplo, este registro de usuarios podría ser un servidor LDAP. Como resultado, la información de seguridad se almacena en la hebra del servidor de aplicaciones.
  3. El archivo JavaServer Pages (JSP) actúa como un cliente de eXtreme Scale para recuperar la información de seguridad de la hebra del servidor. El archivo JSP llama a la infraestructura de seguridad de WebSphere Application Server para obtener las señales de seguridad que representan el usuario de aplicación empresarial.
  4. El cliente de eXtreme Scale, o archivo JSP, envía las señales de seguridad con la solicitud al servidor de contenedor y al servicio de catálogo alojado en las otras JVM. El servidor de catálogo y el servidor de contenedor utilizan las señales de seguridad de WebSphere Application Server como una credencial de cliente de eXtreme Scale.
  5. Los servidores de catálogo y contenedor envían las señales de seguridad a la infraestructura de seguridad de WebSphere Application Server para convertir las señales de seguridad en información de seguridad de usuario. Esta información de seguridad de usuario la representa un objeto Subject, que contiene los principales, las credenciales públicas y las credenciales privadas. Esta conversión se puede producir porque los servidores de aplicaciones que alojan el cliente, el servidor de catálogo y el servidor de contenedor de eXtreme Scale comparten las mismas señales LTPA (Lightweight Third-Party Authentication) de WebSphere Application Server.

Integración de autenticación

Integración de seguridad distribuida con WebSphere Application Server:

Para el modelo distribuido, utilice las clases siguientes:
  • com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenCredentialGenerator
  • com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenAuthenticator
  • com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenCredential

Para ver ejemplos sobre cómo utilizar estas clases, consulte Guía de aprendizaje: Integrar la seguridad de WebSphere eXtreme Scale con WebSphere Application Server.

En el lado del servidor, utilice el autenticador WSTokenAuthentication para autenticar el objeto WSTokenCredential.

Integración de seguridad local con WebSphere Application Server:

Para el modelo de ObjectGrid local, utilice las clases siguientes:
  • com.ibm.websphere.objectgrid.security.plugins.builtins.WSSubjectSourceImpl
  • com.ibm.websphere.objectgrid.security.plugins.builtins.WSSubjectValidationImpl

Para obtener más información sobre estas clases, consulte Programación de la seguridad local. Puede configurar la clase WSSubjectSourceImpl como el plug-in SubjectSource y la clase WSSubjectValidationImpl como el plug-in SubjectValidation.

Soporte de seguridad de la capa de transporte en WebSphere Application Server

Cuando un cliente, servidor de contenedor o servidor de catálogo de eXtreme Scale se ejecuta en un proceso de WebSphere Application Server, la seguridad de transporte de eXtreme Scale la gestionan los valores de transporte CSIV2 de WebSphere Application Server. Para el cliente o servidor de contenedor de eXtreme Scale, no debe utilizar las propiedades de cliente o servidor de eXtreme Scale para configurar los valores SSL. Todos los valores SSL se debe especificar en la configuración de WebSphere Application Server.

No obstante, el servidor de catálogo es un poco diferente. El servidor de catálogo tiene sus propias vías de acceso de transporte de propietario que los valores de transporte CSIV2 de WebSphere Application Server no pueden gestionar. Por lo tanto, las propiedades de SSL se deben seguir configurando en el archivo de propiedades de servidor correspondiente al servidor de catálogo. Si desea más información, consulte Guía de aprendizaje: Integrar la seguridad de WebSphere eXtreme Scale con WebSphere Application Server.