WebSphere Federation Server V9.5 中的端到端联合可信上下文

核心提示： 查看原图（大图）要支持端到端联合可信连接，相应的安全管理员（即具有 SECADM 权限的用户）必须首先在远程 DB2 数据源和联合服务器上配置可信上下文对象，WebSphere Federation Server V9.5 中的端到端联合可信上下文(4)，WebSphere Federation

查看原图（大图）

要支持端到端联合可信连接，相应的安全管理员（即具有 SECADM 权限的用户）必须首先在远程 DB2 数据源和联合服务器上配置可信上下文对象。WebSphere Federation Server 上的可信上下文对象定义 WebSphere Federation Server 和保险应用程序所在的应用服务器之间的信任关系。远程 DB2 数据源上的可信上下文对象定义 WebSphere Federation Server 和远程数据源之间的信任关系。

从图 2 中的步骤 1 可以看到，当第一次在应用服务器上启用保险应用程序时，应用服务器将建立 WebSphere Federation Server 到数据源的连接。将在应用程序用户 APP_USER 的身份下建立显式的可信连接。应用程序用户现在可以使用该可信连接执行一些初始配置任务并为最终用户准备好环境。完成所有初始化任务之后，APP_USER 提交工作单元并为处理最终用户请求做准备。

从图 2 中的步骤 2 可以看到，用户 Bob 现在可以访问保险应用程序查看他的所有保险理赔。入站与出站可信连接上的当前用户 ID 现在从 APP_USER 切换为 BOB。实际上，Bob 的身份现在在同一个物理连接中断言，一直到远程数据源。Bob 的保险理赔请求由他在数据源上的相应授权进行处理。Bob 的请求也在远程数据源中自己的身份下进行审核。完成 Bob 的请求后，提交他的工作单元，该可信连接现在可以用于处理其他用户请求。

现在用户 Alice 可以访问保险应用程序检索理赔（如图 2 的步骤 3 所示），她的身份可以在同一个物理连接上断言，只需将连接用户 ID 从 BOB 切换为 ALICE。

从上述场景中可以看到，端到端联合可信上下文可以基于正确的最终用户身份准确地检查授权、完成用户会计和审计处理。除了显而易见的安全好处外，与常规非可信连接相比，端到端联合可信上下文能实现更好的性能：