Adicin de Seguridad de JAAS al Cliente

15

Copyright 2004, Oracle. Todos los derechos reservados.

ObjetivosAl finalizar esta leccin, debera estar capacitado para: Describir cmo funciona JAAS (Java Authentication and Authorization Services) en una aplicacin Web Utilizar JAAS para agregar seguridad a una aplicacin Agregar usuarios y roles a un descriptor de despliegue de la aplicacin Agregar seguridad de JAAS a una aplicacin Web

Copyright 2004, Oracle. Todos los derechos reservados.

Proveedor de JAAS El proveedor de JAAS soporta: Almacenamiento, recuperacin y administracin de:

- Informacin de dominios (usuarios y roles) - Poltica (permisos) Repositorios mltiples:

- Basados en XML - Basados en LDAP Mdulos de conexin

Funciona con el modelo de seguridad declarativo de J2EE: Forma parte del modelo de despliegue Necesita poca o ninguna programacinCopyright 2004, Oracle. Todos los derechos reservados.

Definicin de las Necesidades de Seguridad Determinar los roles lgicos en una aplicacin: Cliente Comprador Administrador

Determinar las restricciones de autorizacin: quin puede hacer qu. Decidir el tipo de proveedor: Archivo plano basado en XML LDAP (Oracle Internet Directory)

Asignar roles de seguridad a usuarios y grupos.

Copyright 2004, Oracle. Todos los derechos reservados.

Implementacin de Oracle JASS: JAZN OC4J (OracleAS Containers for J2EE) implementa un proveedor de JAAS denominado JAZN. El proveedor de Oracle soporta: Integracin con SSO (conexin nica) Control de acceso a travs de permisos Java 2 Almacenamiento protegido de contraseas de usuario basado en un archivo

JAZNUserManager Oculta contraseas en un almacenamiento de archivos planos Soporta un control de acceso total basado en roles Soporta completamente un modelo de permisos Java 2Copyright 2004, Oracle. Todos los derechos reservados.

Autenticacin de Clientes Autenticacin: Determina quines son los clientes Lo pueden demostrar?

JAAS integra un nmero cualquiera de esquemas de autenticacin, por ejemplo: SSO: utiliza OracleAS Single Sign-On SSL: utiliza SSL (Secure Sockets Layer) para la autenticacin de clientes basada en certificados Autenticacin bsica: solicita el nombre de usuario y la contrasea Escriba su propio mdulo de conexin.

Copyright 2004, Oracle. Todos los derechos reservados.

Autorizacin de Clientes La autorizacin de clientes se especifica en descriptores de despliegue J2EE. Cada cliente obtiene un principal de seguridad. Un cliente puede llamar a una URL o un mtodo slo si el rol del cliente tiene los derechos asociados. El contenedor J2EE aplica las polticas de seguridad y proporciona herramientas para gestionar la seguridad. Struts incluye roles en el nivel de nodo.

Copyright 2004, Oracle. Todos los derechos reservados.

Supuesto Bsico de AutenticacinOracle Containers for J2EE WebApp Cliente HTTP Servlet 1 Servlet 2

OracleAS

JAAS

JAZNUserManager Servidor HTTP JAAS Poltica de OracleAS JAAS

Proveedor de OracleAS JAZN

Copyright 2004, Oracle. Todos los derechos reservados.

Adicin de Seguridad de JAAS a una Aplicacin JDeveloper proporciona un recuadro de dilogo para ayudar a agregar seguridad de JAAS a una aplicacin. Al utilizarlo, no tiene que editar los archivos XML de forma directa. Los valores de seguridad se mantienen en el archivo web.xml. Acceda a los valores: Haga clic con el botn derecho del mouse en web.xml en el navegador de aplicaciones. Seleccione las propiedades en el men contextual.

Copyright 2004, Oracle. Todos los derechos reservados.

Adicin de Informacin de Autorizacin a Struts

La configuracin de Struts incluye un esquema de autorizacin. El esquema especifica la autorizacin en el nivel de nodo. Especifique el rol autorizado en el inspector de propiedades.

Copyright 2004, Oracle. Todos los derechos reservados.

Propiedades de web.xmlPara implementar la seguridad de JAAS, modifique: Roles de seguridad: agregue el rol de seguridad que desee utilizar. Agregue un recurso Web: Especifique cualquier nombre nico. Agregue un patrn de URL para validar. En la pgina del separador Authorizations, seleccione el rol de usuario.

Copyright 2004, Oracle. Todos los derechos reservados.

Resultados de web.xml TestApplication / users users

Copyright 2004, Oracle. Todos los derechos reservados.

Adicin de Usuarios y Roles JDeveloper proporciona una interfaz de asistente al archivo jazn-data.xml. Seleccione Tools > Embedded OC4J Server Preferences.

Copyright 2004, Oracle. Todos los derechos reservados.

Adicin de Usuarios

Copyright 2004, Oracle. Todos los derechos reservados.

Gestin de Roles

Copyright 2004, Oracle. Todos los derechos reservados.

Seleccin de un Archivo jazn-data.xml Especfico JDeveloper le permite especificar qu archivo JAZN se debe utilizar durante el tiempo de ejecucin en la configuracin de aplicacin. Para cambiar archivos: Haga clic con el botn derecho del mouse en el mdulo de aplicacin Seleccione las configuraciones Edite la propiedad jbo.security.config Introduzca la ruta de acceso al archivo jazn-data.xml

Esto le ofrece flexibilidad de despliegue y pruebas. Para utilizar LDAP, cambie el archivo jazn.xml.

Copyright 2004, Oracle. Todos los derechos reservados.

Ejecucin de la Aplicacin Compruebe la aplicacin. Los prompts del explorador para el nombre de usuario y la contrasea. La aplicacin se abre si se autentica y autoriza al usuario. Si alguno de estos falla, la aplicacin no tiene autorizacin para ejecutarse.Copyright 2004, Oracle. Todos los derechos reservados.

ResumenEn esta leccin ha aprendido a: Utilizar JAAS para agregar seguridad a una aplicacin Agregar usuarios y roles a un descriptor de despliegue de la aplicacin Agregar seguridad de JAAS a una aplicacin Web Describir cmo funciona JAAS en una aplicacin Web

Copyright 2004, Oracle. Todos los derechos reservados.

Prctica 15-1

Copyright 2004, Oracle. Todos los derechos reservados.

Prctica 15-1

Copyright 2004, Oracle. Todos los derechos reservados.