Sicherheit

Die Liberty Profile-Sicherheit schützt Webressourcen gemäß Spezifikation "Servlet 3.0", EJB-Ressourcen gemäß Spezifikation "ejbLite 3.1" und JMX-Verbindungen bei Verwendung des REST-Connectors.

Das folgende Diagramm zeigt einen typischen Sicherheitsprozess beim Zugriff auf eine geschützte Webressource. Damit dieser Prozess funktioniert, müssen Sie die entsprechenden Sicherheitseinrichtungen und die erforderlichen Konfigurationen für die Authentifizierung und Berechtigung konfigurieren.

Abbildung 1. Typischer Sicherheitsablauf für Webressourcen Der WebSecurity-Collaborator verwendet Authentifizierungs- und Berechtigungsservices, um den Zugriff auf die Webressource im Web-Container zu authentifizieren und zu berechtigen.
  1. Ein HTTP-Client fordert eine Webressource im Web-Container an.
  2. Der Web-Container delegiert die Sicherheitsüberprüfung an den WebSecurity-Collaborator.
  3. Der WebSecurity-Collaborator fordert den Benutzer zur Eingabe von Berechtigungsnachweisen auf (sofern nicht vorhanden) und verwendet den Authentifizierungsservice, um den Benutzer zu authentifizieren.
  4. Der Authentifizierungsservice authentifiziert, erstellt und gibt das Subjekt zurück, falls dieses erfolgreich authentifiziert wurde. Andernfalls meldet der Authentifizierungsservice eine Ausnahme für den Authentifizierungsfehler.
  5. Der WebSecurity-Collaborator verwendet den Berechtigungsservice, um eine Benutzerberechtigungsprüfung durchzuführen.
  6. Der Berechtigungsservice gibt das Berechtigungsergebnis an den WebSecurity-Collaborator zurück.
  7. Der WebSecurity-Collaborator gibt das Ergebnis der Sicherheitsprüfung zurück (d. h., ob der Benutzer berechtigt ist).
  8. Der Web-Container stellt die angeforderte Ressource bereit oder weist die Anforderung zurück.

Schnellstart

Verwenden Sie das Element quickStartSecurity, um eine Einzelbenutzersicherheitsumgebung in Liberty Profile zu konfigurieren. Im Abschnitt Kurzübersicht über die Sicherheit wird beschrieben, wie der Sicherheitsworkflow funktioniert, wenn das Element quickStartSecurity verwendet wird. Eine Beispieltask finden Sie unter Einführung in die Sicherheit im Liberty-Profil.

Authentifizierung

Die Authentifizierung bestätigt die Identität des Benutzers. Die gängigste Form der Authentifizierung ist die Authentifizierung mit einem Benutzernamen und einem Kennwort, z. B. durch Basisauthentifizierung oder durch formularbasierte Anmeldung für Webanwendungen. Nach der Authentifizierung eines Benutzers wird die Quelle einer Anforderung zur Laufzeit als Subject-Objekt dargestellt. Dieser Prozess umfasst Zugriffssteuerungsprüfungen, die durchgeführt werden, wenn ein Benutzer auf eine Ressource zugreift, und die auf den für diese Ressource konfigurierten Berechtigungsregeln basieren. Weitere Konzepte sind unter Authentifizierung beschrieben. Ausführliche Taskbeschreibungen finden Sie unter Benutzer im Liberty-Profil authentifizieren.

Berechtigung

Während des Berechtigungsprozesses wird bestimmt, ob einem Benutzer Zugriff auf die Ressourcen im System erteilt wird. Das Java™-EE-Modell verwendet Subjekte, Ressourcen und Rollen, um zu bestimmen, was zulässig ist und was nicht. Dieser Prozess umfasst die Überprüfung der Benutzerberechtigungen (z. B. Benutzer-ID und Kennwort, Zertifikate und Token) und die Erstellung eines Subjekts basierend auf dem authentifizierten Benutzer. Weitere Konzepte sind unter Berechtigung beschrieben. Ausführliche Taskbeschreibungen finden Sie unter Zugriff auf Ressourcen im Liberty-Profil gewähren.

Secure Socket Layer (SSL)

SSL bietet Sicherheit auf Transportebene. Die Tasks sind ausführlich unter SSL-Kommunikation für das Liberty-Profil aktivieren beschrieben.

Single Sign-On (SSO)

SSO ermöglicht den Zugriff auf Anwendungen ohne mehrfache Aufforderung zur Anmeldung. Weitere Einzelheiten finden Sie unter Konzept von SSO. Die Task ist ausführlich unter SSO-Konfiguration mit LTPA-Cookies für das Liberty-Profil anpassen beschrieben.

Eigenschaften für die Websicherheit

Es gibt zahlreiche Konfigurationseigenschaften, die Sie im Rahmen der Websicherheit für Ihre Anwendungen konfigurieren können, z. B. SSO und Clientzertifikatsauthentifizierung. Die verfügbaren Attribute sind im Abschnitt Konfigurationselemente in der Datei 'server.xml' beschrieben. Beispiele finden Sie unter Websicherheitsrelevante Eigenschaften für das Liberty-Profil konfigurieren.

Öffentliche Sicherheits-APIs

Liberty Profile enthält öffentliche APIs, die Sie zum Implementieren der Sicherheitsfunktionen verwenden können. Die öffentlichen Sicherheits-APIs in Liberty Profile sind eine Untergruppe der öffentlichen Sicherheits-APIs von vollständiges Profil. Die Hauptklassen sind WSSecurityHelper, WSSubject und RegistryHelper. Diese Klassen enthalten eine Untergruppe der Methoden, die in den Full Profile-Versionen verfügbar sind. Außerdem gibt es eine neue Klasse mit dem Namen WebSecurityHelper. Weitere Informationen finden Sie unter Öffentliche Sicherheits-APIs.

Ausführliche Informationen zur Java-API-Dokumentation für die einzelnen APIs von Liberty Profile finden Sie im Information Center im Abschnitt Programmierschnittstellen (APIs). Die Java-API-Dokumentation ist außerdem als eigenständige .zip-Datei in einem der Javadoc-Unterverzeichnisse des Verzeichnisses ${wlp.install.dir}/dev verfügbar.

Einige Beispiele finden Sie unter Erweiterungen der Sicherheitsinfrastruktur des Liberty-Profils entwickeln.

Verwaltungssicherheit

Verwaltungssicherheit bedeutet, dass Sie Liberty Profile über einen fernen JMX-Client verwalten können. Informationen zum Sichern von Fernverbindungen mit dem REST-Connector finden Sie unter Verbindung zum Liberty-Profil mit JMX herstellen. Sie können auch eigene JMX-Clientanwendungen entwickeln. Diesbezügliche Erläuterungen finden Sie unter JMX-Java-Client für das Liberty-Profil entwickeln.

Authentifizierungsaliase

Der Authentifizierungsdatenalias stellt die Sicherheitsunterstützung für die Datenbankkonnektivität bereit. Weitere Informationen hierzu finden Sie unter Authentifizierungsaliasse für das Liberty-Profil konfigurieren.

Konfigurationsbeispiele und Beispiele

Auf der WASdev.net-Website finden Sie mehrere Sicherheitskonfigurationsbeispiele als Referenz bei der Konfiguration der Sicherheit Ihrer Anwendungen in Liberty Profile.

Kompatibilität und Unterschiede bei der Sicherheit

Im Folgenden sind die wichtigsten Unterschiede zwischen den Sicherheitsfunktionen in vollständiges Profil und Liberty Profile beschrieben. Weitere Informationen finden Sie unter Konfigurationsunterschiede zwischen Full Profile und Liberty Profile: Sicherheit.

Lightweight Directory Access Protocol (LDAP) konfigurieren

Nachdem Sie den LDAP-Benutzerregistry-Eintrag ausgewählt haben, den Sie der Serverkonfiguration hinzufügen möchten, wird in der Anzeige Details der LDAP-Benutzerregistry eine Liste für die unterstützten LDAP-Servertypen angezeigt. Wenn Sie einen unterstützten LDAP-Servertyp auswählen, werden die LDAP-Filter, die dem ausgewählten LDAP-Servertyp zugeordnet sind, nicht automatisch eingetragen.

Für jeden unterstützten LDAP-Servertyp ist eine Standardgruppe von Filtern definiert. Nachdem der LDAP-Benutzerregistry-Eintrag und der Servertyp hinzugefügt wurden, können die zugeordneten LDAP-Filter durch Auswahl der LDAP-Benutzerregistry-Konfiguration und Hinzufügen des erforderlichen LDAP-Filters konfiguriert werden:
  • Active Directory-LDAP-Filter
  • Angepasste LDAP-Filter
  • Domino-LDAP-Filter
  • eDirectory-LDAP-Filter
  • IBM Directory Server-LDAP-Filter
  • iPlanet-LDAP-Filter
  • Netscape-LDAP-Filter
  • SecureWay-LDAP-Filter
Nach Auswahl eines LDAP-Filters werden die Standardwerte für die Filtertypen angezeigt:
  • Benutzerfilter
  • Gruppenfilter
  • Benutzer-ID-Zuordnung
  • Gruppen-ID-Zuordnung
  • Gruppenmember-ID-Zuordnung
Wenn Standardfilter verwendet werden, wird die Datei server.xml nicht mit Filterinformationen aktualisiert. Wenn Sie Filter ändern, werden nur die geänderten Filtertypen in der Datei server.xml aktualisiert.
Anmerkung: Wenn Sie keine Referenz-ID angeben oder über die Schaltfläche Durchsuchen auswählen, werden die Standardfilter, die dem ausgewählten LDAP-Servertyp zugeordnet sind, verwendet.

Alternativ können Sie der Serverkonfiguration einen LDAP-Filter hinzufügen. Sie müssen eine ID angeben, um die Referenz dieser speziellen Filterkonfiguration zuzuordnen, damit diese der LDAP-Benutzerregistry-Konfiguration zugeordnet werden kann. Bei der Verwendung dieser Konfigurationsmethode für LDAP-Filter wird die Referenz-ID dann in der Anzeige Details der LDAP-Benutzerregistry (die über die Schaltfläche Durchsuchen für den entsprechenden LDAP-Filtertyp aufgerufen wird) angezeigt.

Wenn Sie Eclipse-basierte Entwicklertools für die Konfiguration von LDAP verwenden, überprüfen Sie die gespeicherte Konfiguration anhand der Beispiele in der Datei wlp/templates/config/ldapRegistry.xml.

Weitere Informationen finden Sie unter LDAP-Benutzerregistrys mit dem Liberty-Profil konfigurieren.

Fehlerbehebung

Verwenden Sie die Fehlerbehebungsinformationen, um Sicherheitsprobleme bei der Verwendung von Liberty Profile zu beheben. Weitere Informationen finden Sie in den Abschnitten Fehlerbehebung für die Sicherheit und Fehlerbehebung für LDAP.

Für verteilte Plattformen

Tools

Konfigurieren Sie die Sicherheit mit den Eclipse-basierten Entwicklertools für Liberty Profile. Weitere Informationen finden Sie unter Konfiguration des Liberty-Profils mit Entwicklertools bearbeiten. Spezielle Informationen zu Tools und zur Sicherheitskonfiguration finden Sie in den Abschnitten TAI im Liberty-Profil mit Entwicklertools konfigurieren und JAAS im Liberty-Profil mit Entwicklertools konfigurieren.


Symbol das den Typ des Artikels anzeigt. Konzeptartikel

Nutzungsbedingungen für Information Center | Feedback


Symbol für Zeitmarke Letzte Aktualisierung: 25.08.2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=cwlp_sec
Dateiname: cwlp_sec.html