将 Tivoli Access Manager 与 ObjectGrid 集成以对分布式客户机进行身份验证和授权

核心提示： 服务器运行时将 Subject 对象和所需的权限发送到 ObjectGrid 授权插件中，ObjectGrid 授权插件查询 Authorization 服务并作出授权决策，将 Tivoli Access Manager 与 ObjectGrid 集成以对分布式客户机进行身份验证和授权(3)，如

服务器运行时将 Subject 对象和所需的权限发送到 ObjectGrid 授权插件中。

ObjectGrid 授权插件查询 Authorization 服务并作出授权决策。如果为此 Subject 对象授予了权限，将会返回“true”值，否则会返回“false”。

此授权决策（true 或 false）将返回到服务器运行时。

集成 Tivoli Access Manager

在组成 Tivoli Access Manager（以下称为 Access Manager）的众多组件中，需要以下组件来运行本文中的示例：

Access Manager Directory Server 是受支持操作系统的轻量级目录访问协议（Lightweight Directory Access Protocol，LDAP）的 IBM 实现。Directory Server 提供了使用 IBM DB2® 数据库存储目录信息的服务器，用于将 LDAP 操作路由到其他服务器的代理服务器、客户机及用于管理服务器的图形用户界面。

Access Manager Policy Server 维护管理域的主授权数据库以及与您可能决定创建的其他安全域关联的策略数据库。

Access Manager Authorization Server 在存在以远程缓存模式使用 Tivoli Access Manager 授权 API 的第三方应用程序的情况下，提供对此类应用程序的授权服务的访问。它可在第三方应用程序（如 ObjectGrid）和 Access Manager Policy Server 间起到桥梁纽带的作用。

Access Manager Runtime for Java 提供了可靠的环境，可用于在 Tivoli Access Manager 安全域中开发和部署 Java 应用程序。可以将其用于向新的或现有的 Java 应用程序添加 Tivoli Access Manager 授权和安全服务。

正如图 1 中所示，需要创建三个插件，以便将 Access Manager 用于对 ObjectGrid 进行身份验证和授权：

CredentialGenerator 和 Credential