将 Tivoli Access Manager 与 ObjectGrid 集成以对分布式客户机进行身份验证和授权

核心提示： 图 1 显示了 ObjectGrid 服务器如何对客户机进行身份验证和授权，步骤 1 到 6 显示了身份验证流程，将 Tivoli Access Manager 与 ObjectGrid 集成以对分布式客户机进行身份验证和授权(2)，而步骤 7 到 9 显示了授权流程，三个绿色的环表示 Obje

图 1 显示了 ObjectGrid 服务器如何对客户机进行身份验证和授权。步骤 1 到 6 显示了身份验证流程，而步骤 7 到 9 显示了授权流程。三个绿色的环表示 ObjectGrid 插件，而两个黄色的柱面表示外部安全服务。

图 1. ObjectGrid 身份验证和授权体系结构

图片看不清楚？请点击这里查看原图（大图）。

身份验证流

身份验证流从 ObjectGrid 客户机获取代表自己的凭据开始。此工作由插件 com.ibm.websphere.objectgrid.security.plugins.CredentialGenerator 进行。

简单说来，CredentialGenerator 对象知道如何生成有效的客户机凭据，例如用户 ID/密码对、Kerberos 票据等等。

ObjectGrid 客户机使用 CredentialGenerator 对象接收到 Credential 对象后，会将此客户机 Credential 对象随 ObjectGrid 请求一起发送到 ObjectGrid 服务器。

ObjectGrid 服务器在处理 ObjectGrid 请求前将对 Credential 对象进行身份验证。ObjectGrid 服务器使用 Authenticator 插件对 Credential 对象进行身份验证。

Authenticator 插件表示指向用户注册中心的接口，例如 LDAP 服务器或操作系统用户注册表。Authenticator 查询用户注册中心，并作出身份验证决策。

如果身份验证成功，将会返回表示此客户机的 Subject 对象。

授权流

ObjectGrid 采用基于权限的授权机制。ObjectGrid 具有代表不同权限类的不同权限类别。例如，com.ibm.websphere.objectgrid.security.MapPermission 代表在 ObjectMap 中对数据项进行读取、写入、插入、作废和删除操作。由于 ObjectGrid 提供 JAAS 授权的现成支持，因此可以利用 JAAS 通过提供授权策略处理 ObjectGrid 授权。此外，ObjectGrid 还支持自定义授权。自定义授权通过插件 com.ibm.websphere.objectgrid.security.plugins.ObjectGridAuthorization 插入。