TAI für das Liberty-Profil konfigurieren

Sie können das Liberty-Profil für die Integration mit einem Sicherheitsservice eines anderen Anbieters mithilfe von TAIs (Trust-Association-Interceptors) konfigurieren. Der TAI kann vor oder nach Single Sign-on (SSO) aufgerufen werden.

Vorbereitende Schritte

Vergewissern Sie sich, dass bereits ein Sicherheitsserver eines anderen Anbieters als Reverse-Proxy-Server installiert ist. Der Sicherheitsserver eines anderen Anbieters kann als Front-End-Authentifizierungsserver fungieren, wenn der Liberty Profile-Server seine eigenen Berechtigungsrichtlinien auf die erstellten Berechtigungen anwendet, die vom Proxy-Server übergeben werden. Inzwischen haben Sie eine JAR-Datei, in der die angepasste TAI-Klasse enthalten ist, die die Schnittstelle com.ibm.wsspi.security.tai.TrustAssociationInterceptor implementiert.
Anmerkung: Diese JAR-Datei kann nicht hinsichtlich Änderungen überwacht werden.

Informationen zu diesem Vorgang

Ein TAI wird für die Validierung von HTTP-Anforderungen zwischen einem Sicherheitsserver eines anderen Anbieters und einem Liberty Profile-Server verwendet. Der TAI überprüft die HTTP-Anforderungen des Sicherheitsservers eines anderen Anbieters, um festzustellen, ob es Sicherheitsattribute gibt. Wenn die Validierung einer Anforderung durch den TAI erfolgreich ist, berechtigt der Liberty Profile-Server die Anforderung, indem er überprüft, ob der Clientbenutzer die erforderliche Berechtigung für den Zugriff auf die Ressourcen hat.

Weitere Informationen zur angepassten TAI- und SSO-Konfiguration mit LTPA finden Sie unter Angepassten TAI für das Liberty-Profil entwickeln und SSO-Konfiguration mit LTPA-Cookies für das Liberty-Profil anpassen.

Für verteilte PlattformenSie können einen TAI-Service auch mit den Entwicklertools konfigurieren. Weitere Informationen zur Toolunterstützung finden Sie unter TAI im Liberty-Profil mit Entwicklertools konfigurieren.

Vorgehensweise

  1. Aktivieren Sie das Liberty-Feature appSecurity-2.0 in der Datei server.xml.
    <featureManager> 
        <feature>appSecurity-2.0</feature>
    </featureManager> 
  2. Implementieren Sie Ihre Anwendungen im Liberty Profile-Server und aktivieren Sie alle Liberty-Features, wie z. B. jsp-2.2 und jdbc-4.0.
  3. Legen Sie die TAI-Implementierungsbibliothek simpleTAI.jar in Ihrem Serververzeichnis ab.
  4. Aktualisieren Sie die Datei server.xml mit den TAI-Konfigurationsoptionen und der Position der TAI-Implementierungsbibliothek.
    In der folgenden Datei server.xml wird der angepasste TAI aktiviert, aber er führt keine Authentifizierung für ungeschützte URIs durch und erlaubt im Fall eines Scheiterns der TAI-Authentifizierung keinen Rückgriff auf die Authentifizierungsmethode der Anwendung. Wie in diesem Beispiel gezeigt, sind folgende Konfigurationselemente für die TAI-Unterstützung verfügbar:
    • trustAssociation
    • interceptors
    • properties
    <trustAssociation id="myTrustAssociation" invokeForUnprotectedURI="false" failOverToAppAuthType="false">
        <interceptors id="simpleTAI" enabled="true"  
                      className="com.sample.SimpleTAI" 
                      invokeBeforeSSO="true" invokeAfterSSO="false" libraryRef="simpleTAI"> 
            <properties prop1="value1" prop2="value2"/>
    
        </interceptors> 
    </trustAssociation> 
    
    <library id="simpleTAI"> 
        <fileset dir="${server.config.dir}" includes="simpleTAI.jar"/> 
    </library> 
    ...    

    Anmerkung: Der Eigenschaftsname kann nicht mit einem Punkt (.), mit config. oder mit service beginnen. Außerdem ist der Eigenschaftsname id oder ID nicht zulässig.
    Anmerkung: Die Eigenschaft invokeBeforeSSO ist standardmäßig auf "true" gesetzt. Wird diese Einstellung verwendet, wird TAI auch aufgerufen, wenn das SSO-Token vorhanden und gültig ist. Wenn aber das erwartete Verhalten ist, TAI nur aufzurufen, wenn das SSO-Token ungültig oder nicht vorhanden ist, kann diese Eigenschaft inaktiviert werden, indem Sie auf "false" gesetzt und die Eigenschaft invokeAfterSSO aktiviert wird. Wird diese Einstellung verwendet, wird TAI nur aufgerufen, wenn das SSO-Token nicht vorhanden oder ungültig ist. In einigen Fällen kann diese Konfiguration die Leistung Ihres Systems verbessern.

    Weitere Informationen zu den Elementen <trustAssociation>, <interceptors> und <properties> finden Sie unter Konfigurationselemente in der Datei 'server.xml'.


Symbol das den Typ des Artikels anzeigt. Taskartikel

Nutzungsbedingungen für Information Center | Feedback


Symbol für Zeitmarke Letzte Aktualisierung: 25.08.2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_sec_tai
Dateiname: twlp_sec_tai.html