Valores de Proveedores de autorización externos

Utilice esta página para habilitar un proveedor JACC (Java Authorization Contract for Containers) para que tome decisiones de autorización.

Para ver esta página de la consola administrativa, realice los pasos siguientes:
  1. Pulse Seguridad > Seguridad global.
  2. Pulse Proveedores de autorización externos.

El servidor de aplicaciones proporciona un motor de autorizaciones predeterminado que lleva a cabo todas las decisiones de autorización. Además, el servidor de aplicaciones también da soporte a un proveedor de autorizaciones externo mediante la especificación JACC para sustituir el motor de autorizaciones predeterminado para las aplicaciones Java Platform, Enterprise Edition (Java EE).

JACC forma parte de la especificación Java EE, que permite a los proveedores de seguridad de terceros tales como Tivoli Access Manager conectarse al servidor de aplicaciones y tomar decisiones de autorización.

Importante: A menos que disponga de un proveedor JACC externo o desee utilizar un proveedor JACC para Tivoli Access Manager que puede manejar autorizaciones Java EE basadas en JACC, y que esté configurado y preparado para utilizarse con el servidor de aplicaciones, no habilite Autorización externa utilizando un proveedor JACC.
Autorización SAF (System Authorization Facility) [z/OS]

Utilice esta opción si desea especificar que los perfiles SAF EJBROLE se utilicen para la autorización de usuario a rol para las aplicaciones Java 2 Platform, Enterprise Edition (Java EE) y las solicitudes de autorización basadas en rol (denominación y administración) que están asociadas a la ejecución del servidor de aplicaciones. Esta opción está disponible cuando el entorno sólo contiene nodos z/OS.

Importante: Cuando seleccione esta opción, WebSphere Application Server utiliza la política de autorización almacenada en el producto de seguridad de z/OS para la autorización.
Si el registro se ha configurado como LDAP (Lightweight Access Directory Protocol) o Personalizado y se especifica una autorización SAF, es necesaria una correlación a un principal z/OS en cada inicio de sesión para todos los métodos protegidos que deban ejecutarse:
  • Si el mecanismo de autenticación es LTPA (Lightweight Third Party Authentication), se recomienda actualizar todas las siguientes entradas de configuración de modo que incluyan una correlación a un principal z/OS válido (como WEB_INBOUND, RMI_INBOUND y DEFAULT).
  • Si el mecanismo de autenticación es SWAM (Simple WebSphere Authentication Mechanism), debe actualizar la entrada de configuración SWAM de modo que incluya una correlación a un principal z/OS válido.
    Nota: SWAM es una característica obsoleta y se eliminará en un release posterior.

Puede habilitar varias propiedades de autorización SAF pulsando Autorización SAF de z/OS en Elementos relacionados. Puede añadir un valor para la propiedad com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress. Establezca esta propiedad para activar o desactivar los mensajes ICH408I. El valor predeterminado para esta propiedad es false, que no suprime los mensajes. Puede establecer este valor en true para suprimir los mensajes ICH408I.

Esta propiedad afecta a la generación de mensajes de violación de acceso tanto para los roles definidos por la aplicación como para los roles definidos por la ejecución del servidor de aplicaciones para los subsistemas administrativos y de denominación. Los registros SMF (System Management Facility) no resultan afectados por esta propiedad. Las comprobaciones del perfil EJBROLE se efectúan tanto para las comprobaciones declarativas (descriptores de despliegue) y programáticas:
  • Las comprobaciones declarativas se codifican como restricciones de seguridad en las aplicaciones web y los descriptores de despliegue se codifican como restricciones de seguridad en los enterprise beans. Esta propiedad no se utiliza para controlar los mensajes en este caso. En su lugar, se admite un conjunto de roles y si se produce una violación de acceso, un mensaje de violación de acceso ICH408I indica una anomalía para uno de los roles. A continuación, SMF anota cronológicamente una única violación de acceso (para ese rol).
  • Las comprobaciones de lógica de programa (o comprobaciones de acceso) se realizan mediante el isCallerinRole(x) programático para enterprise bean o isUserInRole(x) para las aplicaciones web. La propiedad com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress controla los mensajes generados por esta llamada.
Proveedor JACC externo

Utilice este enlace para configurar el servidor de aplicaciones de modo que utilice un proveedor JACC externo. Por ejemplo para configurar un proveedor JACC externo, el nombre de clase de política y el nombre de clase de la fábrica de configuraciones de políticas son necesarios para la especificación JACC.

Tivoli Access Manager utiliza los valores predeterminados contenidos en este enlace para tomar decisiones de autorización. Si tiene pensado utilizar otro proveedor, modifique los valores según corresponda.

No actualizar el proveedor

Especifica que las políticas de seguridad y los roles no se propagarán al proveedor JACC externo.

Actualizar con todas las aplicaciones

Especifica que las políticas de seguridad y los roles se propagarán al proveedor JACC externo para todas las aplicaciones.

Actualizar nombres de aplicación listados

Especifica que, para las aplicaciones seleccionadas, se propagarán las políticas de seguridad y los roles al proveedor JACC externo.

Pestaña Configuración

Autorización incorporada

Esta opción debe utilizarse siempre a menos que desee que un proveedor de seguridad externo, como Tivoli Access Manager, lleve a cabo la toma de decisiones de autorizaciones para las aplicaciones Java EE basadas en la especificación JACC.

Valor predeterminado: Habilitado



Los enlaces marcados (en línea) requieren acceso a Internet.

Tareas relacionadas
Referencia relacionada
Valores del proveedor JACC (Java Authorization Contract for Containers) externo
[z/OS] Autorización de SAF (z/OS System Authorization Facility)


Nombre de fichero: usec_jaccprovider.html