Bereitstellung einer externen Anwendung

Bei der Bereitstellung einer Anwendung auf einem Anwendungsserver ist die Sicherheitskonfiguration für den Anwendungsserver für alle IBM Cúram Social Program Management-Anwendungen gültig, die für diese Instanz des Anwendungsservers bereitgestellt wurden. Deshalb ist Vorsicht geboten, wenn Sie die Bereitstellungsarchitektur für mehr als eine Anwendung in Betracht ziehen. Dies ist ein wichtiger Aspekt bei der Entscheidung darüber, ob sowohl eine interne als auch eine externe Anwendung für ein und dieselbe Instanz des Anwendungsservers bereitgestellt werden soll.

Die folgenden Aspekte sollten berücksichtigt werden:

• Wird die Identität nur für interne Benutzer verwendet?
• Wird ein alternativer Authentifizierungsmechanismus verwendet, z. B. LDAP?
• Werden sowohl interne als auch externe Benutzer durch LDAP authentifiziert?

Die Antworten auf diese Fragen beeinflussen die Einstellung der Eigenschaften des Anwendungsservers (d. h. Eigenschaften, die in der Datei AppServer.properties angegeben sind), die sich wiederum auf das Verhalten des JAAS-Anmeldemoduls von Cúram auswirken. Diese Betrachtungen beeinflussen auch die Implementierung der Klasse curam.util.security.PublicAccessUser und der Schnittstelle curam.util.security.ExternalAccessSecurity für externe Benutzer.

Durch die Eigenschaften des Anwendungsservers im JAAS-Anmeldemodul von Cúram ist eine differenziertere Steuerung der Authentifizierung der Benutzertypen möglich. Externe und interne Benutzer können in einer Situation, in der interne und externe Anwendungen auf ein und demselben Anwendungsserver bereitgestellt werden, unterschiedlich authentifiziert werden, ebenso wie unterschiedliche Typen von externen Benutzern. Dazu gehören unter anderem die folgenden Eigenschaften:

• curam.security.user.registry.disabled.types

  Setzen Sie diese Eigenschaft auf eine durch Kommas getrennte Liste mit Benutzertypen, für die die Benutzerregistry des Anwendungsservers nicht abgefragt wird, d. h., die Implementierung innerhalb der Methode PublicAccessUser.authenticate() ist für die Authentifizierung des externen Benutzers dieses Typs verantwortlich. So kann beispielsweise LDAP als Benutzerregistry konfiguriert werden.

• curam.security.user.registry.enabled.types

  Setzen Sie diese Eigenschaft auf eine durch Kommas getrennte Liste mit Benutzertypen, für die die Benutzerregistry abgefragt wird, d. h., bei der Implementierung innerhalb der Methode PublicAccessUser.authenticate() muss der Benutzer nicht vollständig authentifiziert werden. Die Benutzerregistry ist für die Authentifizierung dieses Typs von externem Benutzer zuständig. So kann beispielsweise LDAP als Benutzerregistry konfiguriert werden; in diesem Fall kann LDAP für die Authentifizierung dieser Typen von externem Benutzer verantwortlich sein.

Diese Eigenschaften sind von der Implementierung der Klasse curam.util.security.PublicAccessUser und der Schnittstelle ExternalAccessSecurity abhängig.

Beachten Sie die folgenden beispielhaften Projektanforderungen:

• Ein interner Benutzer muss sich mit LDAP authentifizieren.
• Ein externer Benutzer des Typs "EXT_PUBLIC" muss sich mit IBM Cúram Social Program Management und nicht mit LDAP authentifizieren.
• Ein externer Benutzer des Typs "EXTERNAL" darf sich nur mit LDAP und nicht mit IBM Cúram Social Program Management authentifizieren.
• Sowohl die internen als auch die externen Anwendungen werden auf ein und derselben Anwendungsserverinstanz bereitgestellt.

Die folgenden Einstellungen können für das obige Beispiel verwendet werden:

• curam.security.check.identity.only auf true gesetzt
• curam.security.user.registry.disabled.types=EXT_PUBLIC

Es müssen nicht nur die Eigenschaften festgelegt werden, sondern die Erweiterung PublicAccessUser (und die Implementierung der Schnittstelle curam.util.security.ExternalAccessSecurity) muss die Logik zur Bereitstellung unterschiedlicher Typen externer Benutzer und zur Vorgehensweise bei deren Authentifizierung aufweisen.