Al finalizar esta lección, debería estar capacitado para:
• Definir JAAS (Java Authentication and Authorization Services) • Definir problemas de seguridad con respecto a aplicaciones Web • Utilizar funciones de tiempo de diseño de seguridad de modelos ADF • Utilizar el explorador de ADF Business Components para probar su modelo de seguridad
• Desvincular la lógica de seguridad de la lógica de
la aplicación • Mantener la independencia de la plataforma y el proveedor • Garantizar un control de acceso detallado a los recursos • Posibilitar aplicaciones Web seguras y portátiles
Visión General de la Arquitectura de Seguridad de J2EE
Utilice las API de JAAS para:
Usuario • Autenticar un cliente para que acceda al sistema – Determinar quién es el usuario. Autenticación – ¿Lo pueden demostrar? • Autorizar clientes para acceder a los recursos – Determinar el rol del usuario Autorización autenticado. – ¿Qué acciones puede realizar un usuario? Lectura/Escritura Aplicación
JAAS (Java Authentication and Authorization Services)
• JAAS es un marco que:
– Proporciona un paquete API de Java que posibilita que las aplicaciones puedan autenticar y aplicar la seguridad – Permite la definición de nombres de seguridad lógicos (principales) que se asignan a usuarios o roles definidos en el entorno de tiempo de ejecución – Permite que la autorización detallada gestione la forma en que los clientes tienen acceso a los recursos • Un proveedor de JAAS implementa el marco de JAAS y aplica el modelo de seguridad de Java2.
JAAS (Java Authentication and Authorization Services)
• JAAS soporta las siguientes funciones de
autorización, autenticación y comunidad de usuarios (dominio): – Principales – Asuntos – Autenticación del módulo de conexión – Roles – Dominios – Políticas y permisos • JDeveloper proporciona asistentes y cuadros de diálogo que ayudan a gestionar estos objetos.
mediante JAAS. • ADF Business Components utiliza las definiciones de seguridad de JAAS para aplicar la seguridad en el modelo. • Se pueden definir roles de acceso en entidades y atributos. • El explorador de ADF Business Components utiliza esta propiedad para controlar la seguridad del modelo durante el desarrollo y la prueba. • El despliegue de JDeveloper utiliza estos roles de acceso para crear descriptores de despliegue.
Activación de Autenticación de JAAS para ADF Business Components
• Defina la propiedad de aplicación
jbo.security.enforce para activar la autenticación y la autorización. • Seleccione – None: sin autenticación – Test: prueba el esquema de conexión pero no autentica los usuarios – Must: autenticación completa – Auth: autenticación y autorización completas • Modifique java.security para utilizar el proveedor de conexión de Oracle.
• Los permisos se pueden sustituir en el nivel de atributo. • Se aplican los permisos más restrictivos, por ejemplo: – Si define read-only en el nivel de entidad, no puede definir update en el nivel de atributo. – Update, en el nivel de entidad, puede tener read-only en el nivel de atributo.
• Definir el configurador de conexión para aplicaciones ADF BC • Activar la autenticación de JAAS para ADF BC • Agregar usuarios y roles • Agregar permisos específicos de rol a entidades y atributos • Probar un esquema de seguridad de aplicación ADF BC