Lesson 15 - Adding JAAS Security To The Client

15
Adición de Seguridad de JAAS al Cliente
Copyright © 2004, Oracle. Todos los derechos reservados.

Objetivos
Al finalizar esta lección, debería estar capacitado para:

• Describir cómo funciona JAAS (Java Authentication
and Authorization Services) en una aplicación Web
• Utilizar JAAS para agregar seguridad a una aplicación
• Agregar usuarios y roles a un descriptor de despliegue
de la aplicación
• Agregar seguridad de JAAS a una aplicación Web

Proveedor de JAAS
• El proveedor de JAAS soporta:

– Almacenamiento, recuperación y administración de:
- Información de dominios (usuarios y roles)
- Política (permisos)
– Repositorios múltiples:
- Basados en XML
- Basados en LDAP
– Módulos de conexión
• Funciona con el modelo de seguridad declarativo de
J2EE:
– Forma parte del modelo de despliegue
– Necesita poca o ninguna programación

Definición de las Necesidades de Seguridad
• Determinar los roles lógicos en una aplicación:

– Cliente
– Comprador
– Administrador
• Determinar las restricciones de autorización: quién
puede hacer qué.
• Decidir el tipo de proveedor:
– Archivo plano basado en XML
– LDAP (Oracle Internet Directory)
• Asignar roles de seguridad a usuarios y grupos.

Implementación de Oracle JASS: JAZN
• OC4J (OracleAS Containers for J2EE) implementa un

proveedor de JAAS denominado JAZN.
• El proveedor de Oracle soporta:
– Integración con SSO (conexión única)
– Control de acceso a través de permisos Java 2
– Almacenamiento protegido de contraseñas de usuario
basado en un archivo
• JAZNUserManager
– Oculta contraseñas en un almacenamiento de archivos
planos
– Soporta un control de acceso total basado en roles
– Soporta completamente un modelo de permisos Java 2

Autenticación de Clientes
• Autenticación:
– Determina quiénes son los clientes
– ¿Lo pueden demostrar?
• JAAS integra un número cualquiera de esquemas
de autenticación, por ejemplo:
– SSO: utiliza OracleAS Single Sign-On
– SSL: utiliza SSL (Secure Sockets Layer) para la
autenticación de clientes basada en certificados
– Autenticación básica: solicita el nombre de usuario
y la contraseña
– Escriba su propio módulo de conexión.

Autorización de Clientes
• La autorización de clientes se especifica en

descriptores de despliegue J2EE.
• Cada cliente obtiene un principal de seguridad.
• Un cliente puede llamar a una URL o un método sólo si
el rol del cliente tiene los derechos asociados.
• El contenedor J2EE aplica las políticas de seguridad y
proporciona herramientas para gestionar la seguridad.
• Struts incluye roles en el nivel de “nodo”.

Supuesto Básico de Autenticación
Oracle Containers
for J2EE
WebApp
Cliente HTTP
Servlet 1 Servlet 2
Proveedor de
OracleAS JAAS
OracleAS JAZN
JAZNUserManager
JAAS
Servidor HTTP Política de
OracleAS JAAS

Adición de Seguridad de JAAS a una Aplicación
• JDeveloper proporciona un recuadro de diálogo para

ayudar a agregar seguridad de JAAS a una aplicación.
• Al utilizarlo, no tiene que editar los archivos XML de
forma directa.
• Los valores de seguridad se mantienen en el archivo
web.xml.
• Acceda a los valores:
– Haga clic con el botón derecho del mouse en web.xml
en el navegador de aplicaciones.
– Seleccione las propiedades en el menú contextual.

Adición de Información de Autorización a Struts
• La configuración de Struts incluye un esquema de

autorización.
• El esquema especifica la autorización en el nivel
de nodo.
• Especifique el rol autorizado
en el inspector de propiedades.

Propiedades de web.xml
Para implementar la seguridad de JAAS, modifique:

• Roles de seguridad: agregue el rol de seguridad
que desee utilizar.
• Agregue un recurso Web:
– Especifique cualquier nombre único.
– Agregue un patrón de URL para validar.
– En la página del separador Authorizations,
seleccione el rol de usuario.

Resultados de web.xml
<web-app>
…
<security-constraint>
<web-resource-collection>
<web-resource-name>TestApplication</web-resource-name>
<url-pattern>/</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>users</role-name>
</auth-constraint>
</security-constraint>
<security-role>
<role-name>users</role-name>
</security-role>
</web-app>

Adición de Usuarios y Roles
• JDeveloper proporciona una interfaz de asistente al

archivo jazn-data.xml.
• Seleccione Tools > Embedded OC4J Server Preferences.

Adición de Usuarios

Gestión de Roles

Selección de un Archivo jazn-data.xml
Específico
• JDeveloper le permite especificar qué archivo JAZN se

debe utilizar durante el tiempo de ejecución en la
configuración de aplicación.
• Para cambiar archivos:
– Haga clic con el botón derecho del mouse en el módulo
de aplicación
– Seleccione las configuraciones
– Edite la propiedad jbo.security.config
– Introduzca la ruta de acceso al archivo jazn-data.xml
• Esto le ofrece flexibilidad de despliegue y pruebas.
• Para utilizar LDAP, cambie el archivo jazn.xml.

Ejecución de la Aplicación
• Compruebe la aplicación.
• Los prompts del
explorador para el nombre
de usuario y la
contraseña.
• La aplicación se abre si se
autentica y autoriza al
usuario.
• Si alguno de estos falla, la
aplicación no tiene
autorización para
ejecutarse.

Resumen
En esta lección ha aprendido a:

• Utilizar JAAS para agregar seguridad a una aplicación
• Agregar usuarios y roles a un descriptor de despliegue
de la aplicación
• Agregar seguridad de JAAS a una aplicación Web
• Describir cómo funciona JAAS en una aplicación Web

Práctica 15-1

Práctica 15-1

Lesson 15 - Adding JAAS Security To The Client

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Lesson 15 - Adding JAAS Security To The Client

Încărcat de

Drepturi de autor:

Formate disponibile

15

Adición de Seguridad de JAAS al Cliente

Copyright © 2004, Oracle. Todos los derechos reservados.

Al finalizar esta lección, debería estar capacitado para:

Copyright © 2004, Oracle. Todos los derechos reservados.

• El proveedor de JAAS soporta:

Copyright © 2004, Oracle. Todos los derechos reservados.

• Determinar los roles lógicos en una aplicación:

Copyright © 2004, Oracle. Todos los derechos reservados.

• OC4J (OracleAS Containers for J2EE) implementa un

Copyright © 2004, Oracle. Todos los derechos reservados.

Copyright © 2004, Oracle. Todos los derechos reservados.

• La autorización de clientes se especifica en

Copyright © 2004, Oracle. Todos los derechos reservados.

Copyright © 2004, Oracle. Todos los derechos reservados.

• JDeveloper proporciona un recuadro de diálogo para

Copyright © 2004, Oracle. Todos los derechos reservados.

• La configuración de Struts incluye un esquema de

Copyright © 2004, Oracle. Todos los derechos reservados.

Para implementar la seguridad de JAAS, modifique:

Copyright © 2004, Oracle. Todos los derechos reservados.

Copyright © 2004, Oracle. Todos los derechos reservados.

• JDeveloper proporciona una interfaz de asistente al

Copyright © 2004, Oracle. Todos los derechos reservados.

Copyright © 2004, Oracle. Todos los derechos reservados.

Copyright © 2004, Oracle. Todos los derechos reservados.

• JDeveloper le permite especificar qué archivo JAZN se

Copyright © 2004, Oracle. Todos los derechos reservados.

Copyright © 2004, Oracle. Todos los derechos reservados.

En esta lección ha aprendido a:

Copyright © 2004, Oracle. Todos los derechos reservados.

Copyright © 2004, Oracle. Todos los derechos reservados.

Copyright © 2004, Oracle. Todos los derechos reservados.

S-ar putea să vă placă și