Seguridad

La seguridad del perfil Liberty proporciona protección para los recursos web según la especificación del Servlet 3.0 y de los recursos EJB según la especificación ejbLite 3.1. La seguridad del perfil Liberty también proporciona protección para las conexiones JMX cuando se utiliza el conector REST.

El siguiente diagrama muestra un proceso típico de seguridad cuando se accede a un recurso web protegido. Para que el proceso de seguridad funcione, debe configurar las características de seguridad adecuadas y las configuraciones necesarias para la autenticación y la autorización.

Figura 1. Flujo de seguridad típico para recursos web WebSecurity Collaborator utiliza la autenticación y la autorización de servicios para autenticar y autorizar el acceso a los recursos web en el contenedor web.
  1. Un cliente HTTP solicita un recurso web del contenedor.
  2. WebContainer delega la comprobación de seguridad a WebSecurity Collaborator.
  3. WebSecurity Colaborador solicita al usuario que especifique las credenciales si no están presentes, y utiliza el servicio de autenticación para autenticar el usuario.
  4. El servicio de autenticación autentica, crea y devuelve el sujeto si se ha autenticado satisfactoriamente. De lo contrario, el servicio de autenticación notifica una excepción relacionada con una anomalía de autenticación.
  5. WebSecurity Collaborator utiliza el servicio de autorización para realizar una comprobación de autorización del usuario.
  6. El servicio de autorización devuelve el resultado de la autorización a WebSecurity Collaborator.
  7. WebSecurity Collaborator devuelve el resultado de la comprobación de seguridad sobre si el usuario está autorizado.
  8. WebContainer sirve o rechaza el recurso solicitado.

Inicio rápido

Con el elemento quickStartSecurity, puede configurar un entorno de seguridad de usuario individual en el perfil Liberty. Consulte la sección Visión rápida de la seguridad para obtener detalles sobre cómo es el flujo de trabajo de la seguridad cuando se utiliza el elemento quickStartSecurity, y la sección Cómo comenzar con la seguridad del perfil Liberty para ver una tarea de ejemplo.

Autenticación

La autenticación confirma la identidad de un usuario. La forma de autenticación más común es el nombre de usuario y contraseña como, por ejemplo, el inicio de sesión mediante la autenticación básica o mediante formulario para aplicaciones web. Una vez autenticado un usuario, el origen de una solicitud se representa como un objeto Subject en el tiempo de ejecución. Este proceso implica realizar comprobaciones de control de acceso cuando un usuario accede a un recurso, basándose en las reglas de autorización configuradas para el recurso. Consulte la sección Autenticación para obtener más conceptos y la sección Autenticación de usuarios en el perfil Liberty para ver tareas detalladas.

Autorización

La autorización determina si se otorga o no a un usuario el acceso a los recursos dentro del sistema. El modelo Java™ EE utiliza sujetos, recursos y roles para determinar lo que se puede permitir o no. Este proceso implica comprobar las credenciales de usuario como, por ejemplo, el ID de usuario y contraseña, los certificados y las señales, y crear un sujeto basado en el usuario autenticado. Consulte la sección Autorización para obtener más conceptos y la sección Autorización del acceso a los recursos en el perfil Liberty para ver tareas detalladas.

Secure Socket Layer (SSL)

SSL proporciona seguridad a nivel de transporte. Consulte la sección Habilitación de la comunicación SSL para el perfil Liberty para ver tareas detalladas.

SSO (Single Sign-On)

SSO permite el acceso a las aplicaciones sin que se le solicite al usuario que inicie sesión varias veces. Consulte la sección Concepto de SSO para obtener más detalles y la sección Personalización de la configuración SSO utilizando cookies LTPA para el perfil Liberty para ver la tarea detallada.

Propiedades relacionadas con la seguridad web

Existen muchas propiedades de configuración que puede configurar como parte de la seguridad web, tales como SSO y la autenticación de certificados de cliente para sus aplicaciones. Consulte la sección Elementos de configuración en el archivo server.xml para ver los atributos disponibles y consulte la sección Configuración de las propiedades relacionadas con la seguridad web para el perfil Liberty para ver algunos ejemplos.

API públicas de seguridad

El perfil Liberty contiene las API públicas que puede utilizar para implementar las funciones de seguridad. Las API de seguridad públicas del perfil Liberty son un subconjunto de las API púbicas de seguridad del perfil completo. Las clases principales son WSSecurityHelper, WSSubject y RegistryHelper. Estas clases contienen un subconjunto de los métodos que están disponibles en las versiones completas del perfil. También existe una clase WebSecurityHelper nueva. Consulte API públicas de seguridad.

La documentación de la API Java para cada API de perfil Liberty se detalla en la sección Interfaces de programación (API) del Information Center, y también está disponible como un archivo .zip aparte en uno de los subdirectorios javadoc del directorio ${wlp.install.dir}/dev.

Consulte Desarrollo de ampliaciones de la infraestructura de seguridad del perfil Liberty para obtener algunos ejemplos.

Seguridad de gestión

Gestión de seguridad significa que puede gestionar el perfil Liberty utilizando un cliente JMX remoto. Para proteger las conexiones remotas utilizando el conector REST, consulte Conexión con el perfil Liberty utilizando JMX. También puede desarrollar su propia aplicación de cliente JMX como se describe en Desarrollo de un cliente JMX Java para el perfil Liberty.

Alias de autenticación

Los alias de datos de autenticación proporcionan el soporte de seguridad para la conectividad de base de datos. Consulte Configuración de los alias de autenticación para el perfil Liberty.

Ejemplo y muestra de configuración

Hay varios ejemplos de configuración se seguridad en el sitio web de WASdev.net que sirven de referencia cuando se configura la seguridad para sus aplicaciones en el perfil Liberty.

Compatibilidad de la seguridad y diferencias

Puede obtener información sobre las principales diferencias de la función de seguridad entre el perfil completo y el perfil Liberty. Consulte Configuración de las diferencias entre el perfil completo y el perfil Liberty: seguridad.

Configuración de LDAP (Lightweight Directory Access Protocol)

Después de seleccionar el elemento Registro de usuarios LDAP para añadirlo a la configuración del servidor, el panel Detalles del registro de usuarios LDAP muestra una lista de los tipos de servidores soportados. Si selecciona un tipo de servidor LDAP soportado, los filtros LDAP asociados con el tipo de servidor LDAP seleccionado no se rellenan previamente de forma automática.

Cada uno de los tipos de servidor LDAP soportados tiene un conjunto predeterminado de filtros definido. Después de seleccionar el elemento Registro de usuarios LDAP y de que se haya añadido el tipo de servidor, se pueden configurar los filtros LDAP asociados seleccionando la configuración Registro de usuarios LDAP y añadiendo el filtro LDAP necesario:
  • Filtros LDAP de Active Directory
  • Filtros LDAP personalizados
  • Filtros LDAP de Domino
  • Filtros LDAP de eDirectory
  • Filtros LDAP de IBM Directory
  • Filtros LDAP de iPlanet
  • Filtros LDAP de Netscape
  • Filtros LDAP de SecureWay
Si se selecciona cualquiera de los filtros LDAP se mostrarán los valores predeterminados para los tipos de filtros:
  • filtro de usuario
  • filtro de grupo
  • correlación de ID de usuario
  • correlación de ID de grupo
  • correlación de ID de miembro de grupo
Si se utilizan los filtros predeterminados, no se actualiza el archivo server.xml con ninguna información de filtro. Si se modifica cualquiera de los filtros, solo se actualizarán los tipos de filtros modificados en el archivo server.xml.
Nota: Si no se especifica ningún ID de referencia ni se selecciona con el botón Examinar, se utilizarán los filtros predeterminados asociados con el tipo de servidor LDAP seleccionado.

De forma alternativa, puede añadir un filtro LDAP a la configuración del servidor. Se debe especificar un ID para asociar la referencia a esta configuración de filtro concreta, de modo que se pueda asociar con la configuración del registro de usuarios LDAP. Si se utiliza este método de configuración de filtros LDAP, se seleccionará el ID de referencia en el panel Detalles del registro de usuarios LDAP (que se encuentra utilizando el botón Examinar bajo el tipo de filtro LDAP respectivo).

Si está utilizando herramientas de desarrollador basadas en Eclipse para configurar LDAP, coteje la configuración guardada con los ejemplos de wlp/templates/config/ldapRegistry.xml.

Para obtener más información, consulte Configuración de registros de usuarios LDAP con el perfil Liberty.

Resolución de problemas

Utilice la información de resolución de problemas para solucionar los problemas relacionados con la seguridad cuando se utiliza el perfil Liberty. Consulte Resolución de problemas de seguridad y Resolución de problemas de LDAP.

Para plataformas distribuidas

Herramientas

Configure la seguridad utilizando las herramientas de desarrollador basadas en Eclipse para el perfil Liberty. Consulte Edición de la configuración del perfil Liberty utilizando las herramientas del desarrollador. Puede encontrar información específica acerca de las herramientas y la configuración de la seguridad en Configuración de TAI en el perfil Liberty utilizando las herramientas del desarrollador y en Configuración JAAS en el perfil Liberty utilizando las herramientas del desarrollador.


Icono que indica el tipo de tema Tema de concepto

Términos y condiciones para centros de información | Comentarios


Icono de indicación de fecha y hora Última actualización: 15 de junio de 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=cwlp_sec
Nombre de archivo:cwlp_sec.html