IBM—中国移动WebLogic Portal安全配置手册.doc

中国移动WebLogic Portal安全配置手册密 级：文档编号：项目代号：中国移动WebLogic Portal安全配置手册Version 1.0中国移动通信有限公司二零零四年十二月第 2 页 共 5 页第 4 页 共4页拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人，负责对本文档进行标准化审核4读取5读取目 录第1章 WEBLOGIC PORTAL 安全概述 11.1 工作原理 11.1.1 安全框架体系架构 11.1.2 服务提供者集成 21.2 功能与定位 31.3 特点与局限性 41.3.1 集成的安全性 41.3.2 兼容性 51.3.3 安全管理特性 5第2章 3A 82.1 认证(authentication) 82.2 授权(authorization) 92.3 审计(auditing) 10第3章 WEBLOGIC PORTAL资源的访问控制 123.1 安全配置步骤 123.2 系统安全配置 133.2.1 更新系统口令 133.2.2 配置安全域 153.3 用户和组 193.3.1 定义用户 193.3.2 定义组 243.4 安全服务提供者管理 273.4.1 注册安全服务提供商 283.4.2 配置一个服务提供商 283.5 管理Permission授予 293.5.1 注册一个角色 303.5.2 角色属性配置 313.5.3 向角色添加用户和组 323.5.4 编辑角色表达式 333.5.5 角色权限设置 343.5.6 角色使用配置 353.6 访问控制portlet 363.6.1 角色权限设置 37第4章 单点登录配置 394.1 安装SiteMider for WLS Agent 394.2 SiteMider策略服务器配置WLS Agent 424.3 配置WLS上的安全提供商 50第5章 WEBLOGIC PORTAL配置SSL 535.1 配置SSL 535.1.1 获得私钥与数字证书 535.1.2 保存私钥与数字签名 545.1.3 配置单向SSL 565.1.4 配置双向SSL 59附录 术语表 61第1章 WebLogic Portal 安全概述1.1 工作原理1.1.1 安全框架体系架构BEA WebLogic 8.1安全框架的目标是为应用程序安全提供一种全面、灵活和开放的方法。

与BEA WebLogic以前版本中的安全领域(realm)不同，新的框架适用于所有的J2EE对象，包括JSP、servlet、EJB、JCA适配器、JDBC连接池以及JMS目标此外，新的框架还被用来提供安全的Web服务开发所必需的认证和授权服务它符合所有的J2EE 1.3安全性要求，例如JAAS（用于与认证和授权相关联的对象）、JSSE（用于通过SSL和TLS进行的通信）和SecurityManager类（用于代码级安全）这一架构的核心是安全和业务逻辑的分离业务逻辑在适当的容器（可以是JSP、servlet或EJB容器）里执行当容器接收到一个针对它包含的对象的请求时，它把整个请求及其整个上下文委托给安全框架框架则根据是否通过请求，返回yes或no决策由于向安全系统提供了目标对象也可以使用的相同信息，所以这个方法把业务逻辑从安全因素里分离了出来二者都利用这项信息来实现自己的责任：框架实施安全策略，对象则执行业务逻辑当安全框架接收到委托的请求时，它以图1所示的形式管理安全处理这个处理非常灵活，其中的精细步骤在许多系统中都见不到，例如动态的角色映射、动态授权以及多个授权者的调整在每一步里，框架都会通过对应的服务提供者接口（SPI）把处理委托给一个自带的、第三方的或者自定义的提供者。

这个架构使BEA WebLogic Server&Portal能够把所有必要的信息路由给每种类型的服务提供者，以便应用程序可以充分利用专业化安全服务的特长 图1-1. 安全框架体系架构1.1.2 服务提供者集成 安全框架仅仅管理安全处理每一步骤都要求服务提供者来执行BEA WebLogic 8.1为每个步骤包含提供者，但是这些提供者都使用框架SPI其他的提供者也都可以访问同样的工具这些SPI包括：· 认证 · 身份断言· 角色映射 · 授权· 判决· 凭据映射· 审计 1.2 功能与定位BEA WebLogic Portal安全管理功能包括：v 安全域管理：包括用户、组和角色管理；安全服务提供者管理；安全域管理中，WebLogic portal采用了WebLogic Server提供的安全域（security realm）机制管理用户，用户组和加载第三方安全厂商的信息在原Server的安全域上，对用户和用户组的管理增加了新的属性，通过每个portal管理控制台创建的用户和组信息也可以通过WebLogic Server的管理控制台进行属性配置和修改Portal中的角色管理是Portal的独立的管理模块，因此在Portal中定义的角色信息不会在WebLogic的GobalRoles进行配置。

v Portal管理Permission的管理；Portal对管理权限采用Delegate方式实现权限分配，在Portal管理控制台中可以配置管理权限的Delegate角色，为Delegate角色分配管理权限属于该Delegate角色的用户成员或用户组都具备Delegate角色中的管理权限v Portal访问控制Portlet的管理；与管理权限分配机制相似，Portal对访问控制Portlet也通过对访问控制角色定义不同的权限实现在Portal 的管理控制台中定义Vistor Entitlement角色，并将Portlet的管理权限分配给定义的Vistor Entitlement角色属于该Vistor Entitlement角色的用户成员或用户组都具备角色中指定的内容资源管理的权限v 单点登录：包括WebLogic Portal内嵌的单点登录和集成第三方的单点登录系统两种模式；单点登录方面WebLogic Portal模块化安全域模型构成了WebLogic Portal与第三方安全产品集成的基础众多第三方安全产品厂商提供了支持WebLogic 的SSO产品，通过配置WebLogic Portal使用厂商提供的安全域实现单点登陆。

WebLogic Portal集成的优点是使门户应用能够与第三方安全服务共享用户名和用户组/角色，进而实现无缝的安全认证因此，储存于外部安全库的用户名能够被WebLogic Portal识别另外，来自于第三方安全产品的组成员信息也能被用于定义组的门户，并为用户访问门户页面和Portlet建立基本的授权本文档考虑到河南移动的SSO采用了第三方的安全产品（Netegrity的Siteminder），单点登录的安排配置主要针对与Sitemider产品集成做详细介绍v SSL协议SSL协议保证用户在使用服务在信息通道上的安全，WebLogic Portal的SSL是基于WebLogic Server实现的，主要内容包括：· 获得私钥和数字证书；· 保存私钥和数字签名；· 配置单向SSL；· 配置双向SSL1.3 特点与局限性1.3.1 集成的安全性BEA WebLogic Server 8.1为企业应用程序提供了解决整体安全问题的集成方法这个方法在业界是独一无二的，其他应用程序服务器供应商、开放源代码产品和专用的安全解决方案都没能达到这样的程度：可以提供强大的、灵活的、可扩展的安全架构有了这个框架，应用程序安全不再是亡羊补牢了：它变成了应用程序基础架构的一项功能，并从应用程序分离出来。

有了这个框架，任何部署在BEA WebLogic Server上的应用程序，都可以得到安全保护，或者通过服务器自带的安全特性，或者通过对开放安全服务提供者接口进行扩展以实现定制安全解决方案，或者通过插入来自客户用作企业标准的主流安全供应商的其他专门的安全解决方案1.3.2 兼容性新的BEA WebLogic安全框架革新了应用程序层的安全性但是，您可能已经在WLW 6.X的安全领域上做了相当的投资您可能不想立即升级安全模型，所以框架提供了一个领域适配器，用于向后兼容性实质来说，这个适配器就是BEA WebLogic 6.x中完整的安全子系统，而框架把它和其他实现认证和授权SPI的服务提供者同样对待在服务器启动时，适配器像以前一样从部署描述符里提取访问控制定义在运行时，它通过对应的SPI，接受框架委托给它的认证和授权请求从您的角度来看，BEA WebLogic 8.1的安全性工作起来就像6.x的安全性一样从服务器的角度来看，领域适配器则完全集成进了8.1安全框架一旦您决定了迁移到安全框架，您可以方便地从6.x的定义里导入安全信息您甚至还可以同时用领域适配器和安全框架本身的提供者，以便确认升级行为正确无误。

1.3.3 安全管理特性1.3.3.1 外周认证在SSO或集成安全认证的情况下，是由BEA WebLogic自己的认证器之外的部分来负责担保请求者的身份这个部分有可能是BEA WebLogic Server的SSL层，也可能是Kerberos系统，也有可能是居中的Web服务在这些情况下，第三方提供应用程序可以验证的令牌只要应用程序相信第三方，就可以接受一个通过验证的令牌，好像它就是原始用户凭据一样安全框架使用了非常简单的机制来与这类系统协作第三方需要做的全部工作，就是把它的令牌放在HTTP头里安全框架检查令牌，并根据令牌类型分配合适的服务提供者如果进来的是来自中立SSL认证的X.509证书，框架分配的提供者会有这样的能力：验证证书链，一直验证到根证书授权机构，甚至还可以用证书状态检测协议来检查证书目前的有效性如果进来的是Kerberos凭证或安全令牌，适当的提供者会对令牌解码，并执行必要的验证一旦提供者执行完验证，就会把凭据里的身份映射成本地用户框架用这个本地用户回调JAAS，然后JAAS填充J2EE 1.3所规定的主体（Principal）对象所以，这个方法在提供巨大灵活性的同时，完全遵守适当的标准。

第三方提供者或企业开发团队可以把任何认证技术与BEA WLS集成在一起，只要这些技术能够填充HTTP头集成BEA WLS应用程序和Web SSO解决方案很容易，因为它们中的大多数，包括SAML，都已经使用cookie或HTTP头了1.3.3.2 角色关联多数应用程序安全模型使用角色的概念角色在用户和资源之间提供了一个迂回层，可以提高管理的方便性它们很像组，但是更加动态通常来说，安全管理员根据规划把用户分配到一个组，然后在用户的工作责任变化时，再修改这个分配角色的变化则更频繁，甚至根据具体情况，从请求到请求就发生变化安全框架既支持组，也支持角色图1-2所示的屏幕截图显示了可以很容易地以图形化方式配置组和角色 图1-2. 动。