【正文】 .....................................................................................................48附錄 術(shù)語表 ................................................................................................................491 / 55第一章 WebSphere Portal 安全概述 簡介WebSphere Portal 由用于構(gòu)建和管理安全的企業(yè)對企業(yè)（B2B）、企業(yè)對客戶（B2C）和企業(yè)對雇員（B2E）門戶網(wǎng)站的中間件、應(yīng)用程序（稱為 portlet）和開發(fā)工具組成。門戶網(wǎng)站是向用戶提供對基于 Web 資源的單點訪問的 Web 站點，辦法是把這些資源聚集在一個地方，并且僅要求用戶登錄到門戶網(wǎng)站本身，而不是登錄到他們使用的每個 portlet。作為一個管理員，您可以定制 WebSphere Portal 來滿足組織、用戶和用戶組的需要。用戶（如業(yè)務(wù)合作伙伴、客戶或雇員）可進一步定制他們自己的門戶網(wǎng)站視圖。通過在一處聚集 portlet 并授予用戶權(quán)限來定制其自己的桌面，WebSphere Portal 為用戶能夠有效、滿意地進行其業(yè)務(wù)提供方法。 “portlet”這個詞指一個小的門戶網(wǎng)站應(yīng)用程序，常常在 Web 頁面中被描繪成一個小盒子。Web 頁面、Web 服務(wù)、應(yīng)用程序和聯(lián)合內(nèi)容提供可通過 portlet 來訪問。任何特別的 portlet 的開發(fā)、部署、管理和顯示獨立于其它 portlet。圖 ：一個典型門戶網(wǎng)站頁面門戶網(wǎng)站服務(wù)器已經(jīng)包含一組豐富的標準 portlet，用于顯示聯(lián)合內(nèi)容、進行 XML 轉(zhuǎn)換、訪問現(xiàn)有的 Web 頁面、Lotus Notes 和 Microsoft Exchange 生產(chǎn)應(yīng)用程序、Sametime 即時消息傳遞和 Lotus QuickPlace 團隊室。門戶網(wǎng)站提供了集成的內(nèi)容和應(yīng)用，以及統(tǒng)一的協(xié)作工作環(huán)境。完整的門戶網(wǎng)站解決方案應(yīng)該讓用戶隨時隨地、安全、方便地訪問完成他們?nèi)蝿?wù)所需的所有東西。也就是說，門戶網(wǎng)站提供工具和用戶界面，用于訪問信息和應(yīng)用程序，個性化管理和選擇內(nèi)容。該平臺基本做三3 / 55件事：1. 為各種用戶、設(shè)備和定制選項提供信息訪問 2. 業(yè)務(wù)流程的集成和自動化 3. 構(gòu)建、連接和管理應(yīng)用程序。WebSphere Application Server、MQ 消息傳遞和采用最新技術(shù)的開發(fā)工具組成平臺的堅固基礎(chǔ)。圖 WebSphere 平臺業(yè)務(wù)集成就是集成內(nèi)部業(yè)務(wù)流程，包括涉及業(yè)務(wù)伙伴的流程。延伸和用戶體驗就是基于 Web 的內(nèi)容的個性化并使它能讓任何設(shè)備訪問。WebSphere Portal 領(lǐng)導著 WebSphere 平臺的延伸和用戶體驗部分。自我服4 / 55務(wù)特性讓最終用戶為門戶網(wǎng)站定制和組織他們自己的視圖，管理他們自己的檔案，發(fā)布文檔，和他們的同事共享文檔。圖 WebSphere Portal 體系結(jié)構(gòu)第二章3A(authentication,authorization,administration) 身份認證(Authentication)認證是建立用戶的標識的過程。另一種選擇是使用與應(yīng)用程序服務(wù)器有信任關(guān)系的第三方認證服務(wù)器（如 Tivoli Access Manager WebSeal 或 Netegrity SiteMinder） 。基于表單的認證的意思是，當用戶5 / 55想訪問某個門戶網(wǎng)站時，將會出現(xiàn)一張 HTML 表單提示他輸入用戶標識和密碼，以便進行認證。通常企業(yè)級應(yīng)用須使用 WebSphere Application Server 中的輕量級第三方認證（Lightweight Third Party Authentication（LTPA） ）作為其認證機制，此認證機制必需搭配 LDAP 用戶注冊表。當用戶試圖訪問受保護的資源時，應(yīng)用程序服務(wù)器會攔截該請求，將它重定向到登錄表單。如果用戶能夠通過認證，那就會創(chuàng)建一張有效的 CORBA 憑證，然后把一個 LTPA cookie 存儲到用戶的機器上。門戶服務(wù)器對門戶資產(chǎn)（包括頁面、portlet、頁面組和用戶組）實施訪問控制。您還可以在外部的安全性管理器（如 IBM Tivoli Access Manager 或 Netegrity SiteMinder）中對特定資源的訪問控制進行管理。它可貴地解決了電子商務(wù)安全性的難題（逐步增加的費用,不斷增長的復雜性以及在各平臺之間統(tǒng)一安全性策略的需求） 。WebSphere Portal Experience 產(chǎn)品中包括了 Access Manager。訪問許可權(quán)的維護是通過使用 Access Control 管理 portlet 來完成的。用戶也可以將他們具有的許可權(quán)委托給其他用戶。在您提交該表單時，右邊的列表將被刷新以顯示當前的許可權(quán)。授予對頁面或頁面組的查看（view）訪問權(quán)意味著其他用戶在登錄后將可以查閱那些頁面組或頁面。授予編輯（ edit）訪問權(quán)意味著用戶可以對 portlet 設(shè)置進行設(shè)置或者更改頁面的內(nèi)容。有關(guān)訪問控制進一步的信息可參考第 3 章相關(guān)內(nèi)容。WebSphere 認證機制采用了 CORBA 憑證，其客戶端 ORB 的事件記錄在was_root/logs/ 中，服務(wù)端 ORB 的事件記錄在was_root/logs/ 中，要查看這些安全事件紀錄可以直接用編輯器打開這兩個文件。門戶網(wǎng)站服務(wù)器不但包含用來更新用戶和組信息的管理 portlet，而且包含用來注冊新用戶的表單（請參看圖 ：自助登錄頁面） 。您只要向表單中添加新的數(shù)據(jù)輸入域，然后將新屬性名填在域標識中就可以了。WebSphere Portal InfoCenter 中有關(guān)9 / 55于定制用戶資源庫的實現(xiàn)、注冊和自助頁面以及數(shù)據(jù)確認類方面的更多信息。門戶網(wǎng)站服務(wù)器中包含一些用來定義門戶用戶和管理用戶訪問權(quán)的功能程序。用戶和組子系統(tǒng)提供一些服務(wù)，用來創(chuàng)建、讀取、更新和刪除資源庫中的用戶或組。一個用戶可能是一個或多個組的成員，一個組可以包含其它組。用戶資源庫可能由多個數(shù)據(jù)源組成。數(shù)據(jù)庫可能是 DB2 或 Oracle 數(shù)據(jù)庫。10 / 55您可以在 文件中定義用戶概要文件屬性到 LDAP 對象類的映射。這些設(shè)置針對每個得到支持的 LDAP 目錄都已有不同的配置；如果您想嘗試使用不被支持的 LDAP 目錄，那么就需要自行設(shè)置這些值。iOrgPerson…RDNname=dcMemberSubsystemAttributeName=EntityNameObjectClass=top。container…grpRDNname=grpMemberSubsystemAttributeName=memberGroupNamegrpObjectClass=top。這個文件還包含關(guān)于每個屬性的元數(shù)據(jù)，例如屬性的數(shù)據(jù)類型、是否需要這個屬性以及屬性是否可以有多個值之類的信息。出于訪問門戶網(wǎng)站范圍之外的應(yīng)用程序的需要，門戶網(wǎng)站服務(wù)器提供了憑證保險庫（credential vault）服務(wù)， portlet 可以用它來存儲登錄到應(yīng)用程序的用戶的用戶標識和密碼（或者其它憑證） 。為了安全地存儲和檢索憑證，這個憑證保險庫就要支持本地數(shù)據(jù)庫存儲，或者支持 IBM Tivoli 的 Access Manager。portlet 通過獲得一個 CredentialVaultPortletService 對象并調(diào)用它的 getCredential 方法來獲得憑證。使用被動憑證的 portlet 需要從憑證中提取出加密信息并與后端應(yīng)用程序進行所有認證通信。主動憑證對象向 portlet 隱藏了憑證的加密信息，沒有任何辦法可以從憑證中提取出這些信息。 后一種情況允許 portlet 通過基本認證、SSL 客戶機認證、摘要認證或者 LTPA 來觸發(fā)遠程服務(wù)器的認證，而不必知道憑證值。盡管這可能并不適合于所有情況，但它卻是您應(yīng)該首選的技術(shù)。 用戶和用戶群WebSphere Portal 提供了集中式的用戶和用戶組管理，您可以利用這種管理更好地定義門戶網(wǎng)站用戶和管理用戶訪問權(quán)。組成員資格提供了訪問對象或執(zhí)行請求所必需的許可權(quán)。如果只讀屬性沒有在該文件中列出，那么就無法修改用戶和組。如果沒有用戶有此角色，那么門戶網(wǎng)站將不能操作。您還可更改組成員資格。 2. 單擊管理。 4. 單擊管理用戶和組。一個角色把一組許可權(quán)與特定 WebSphere Portal 資源組合在一起。角色以 RoleTypeResource 的形式表示。 確?？偸怯兄辽僖粋€用戶有 AdministratorPortal 角色。下表描述 WebSphere Portal 角色類型。這包括創(chuàng)建、配置和刪除資源。Security Administrator創(chuàng)建和刪除在資源上的角色指定。例如，為了把主體指定到資源上的角色，您必須至少有 DelegatorPrincipal + Security_AdministratorResource + RoleTypeResource 角色。Delegator把主體（用戶和組）指定到資源上的角色，您對這些資源至少有 Security Administrator 角色和其它相應(yīng)的角色類型。應(yīng)該把 Delegator 角色指定到主體或虛擬資源上。沒有對資源的訪問權(quán)。Editor 創(chuàng)建新資源和配置由多個用戶使用的現(xiàn)有資源。User 查看門戶網(wǎng)站內(nèi)容。未指定角色 無法與資源交互。每個角色類型都包含層次結(jié)構(gòu)中直屬其下的角色類型中包含的所有許可權(quán)。 Manager 可以做任何 Editor 和 User 能做的事?？梢杂萌N方法中任一種指定角色： ? 由有必要權(quán)限的人（如門戶網(wǎng)站管理員）顯式指定。如果組有角色，則組中所有成員都自動獲取該角色。 ? 通過在父資源上的角色指定繼承。 用戶和組在相同資源上可以有多個角色。這些角色之一可通過資源層次結(jié)構(gòu)繼承，而其它的可由門戶網(wǎng)站管理員顯式指定。把角色指定到組會減少角色映射數(shù)并簡化維護。缺省情況下，層次結(jié)構(gòu)中每個資源都繼承其父資源的角色指定。當您把組指定到父資源上的角色時，該組自動獲取所有子資源的相同角色。您可通過對 Sales 組授予 EditorMarket News Page 角色，給予 Mary 對 Market News Page 和此頁面下所有頁面的 Editor 訪問權(quán)。Sales 組的所有成員都將繼承在資源層次結(jié)構(gòu)中 Market News page 下所有頁面的 Editor 角色類型。 通過資源層次結(jié)構(gòu)的繼承可在任何級別被阻塞，以提供更細化的訪問控制。如果外部化一個資源，而其父資源保持內(nèi)部化，則該外部資源不再從內(nèi)部化的父資源繼承角色指定。 角色阻塞角色阻塞阻止通過資源層次結(jié)構(gòu)的繼承?？蓪⒋讼胂鬄樵谫Y源上插一塊板?？蓪⒋讼胂鬄樵谫Y源下插一塊板。例如，在 Editor 角色類型和 Europe Market News page 上的繼承阻塞確保 Europe Market News page 不從其父資源 Market News page 繼承任何 Editor 角色。例如，仍繼承 Manager 角色。 角色阻塞不能用于阻止 Administrator 和 Security Administrator 角色類型的繼承。不能用繼承或傳播阻塞阻塞 AdministratorUSA Market News Page 角色。因此，如果 Mary 有角色 EditorMarket News page，則她不會自動獲取角色 EditorUSA Market News Page，因為 USA Market News page 是外部受管的。 訪問控制 permission 類型 給予用戶對門戶網(wǎng)站的完全訪問給予用戶 AdministratorPortal 角色。 用該兩種方法之一賦予用戶此角色： ? 把用戶添加到有 AdministratorPortal 角色的組。使用“ 管理用戶和組”portlet 將用戶指定到此組。使用“資源許可權(quán)”portlet 或“ 用戶和組許可權(quán)”portlet 給予用戶此角色。她必須使用 “管理應(yīng)用程序”portlet 來這樣做。您必須在每個 Mary 需要訪問的 Web 模塊上指定給她一個 User 角色。您必須在每個 Mary 需要管理的 Portlet 應(yīng)用程序上指定給她一個 Manager 角色。使用“管理用戶和組”portlet 把她指定到此組。使用“資源許可權(quán) ”portlet 或“用戶和組許可權(quán)”portlet 來賦予她這些角色。例如，給予 Sales 組 EditorMarket News Page 角色。要允19 / 55許 Sales 組編輯 USA Market News Page 而不能編輯 Europe Market News Page，可在 Europe Market News Page 上插入 Editor 角色類型的繼承角色阻塞塊。此角色阻塞阻止 Sales 組的成員（以及所有其它在 Europe Market News Page 的任何父頁面上有繼承的或隱式的 Editor 角色的用戶和組）編輯 Europe Market News Page 及其所有當前和未來的子頁面。在頁面上的角色指定不包含對在頁