WebSpherePortalServer应用专辑：Portal的安全性.docVIP

随着企业对企业及企业对消费者网站应用的快速成长，电子商业需要保护重要的信息资产，以避免遭受骇客入侵。为电子商业代管提供给客户之内容及应用程序的服务供货商也需要类似的保护。对大多数环境而言，集中管理使用者身份、凭证、及权限是理想的作法。入口网站服务器包含定义入口网站使用者及管理使用者使用权限的功能。前言 随着企业对企业及企业对消费者网站应用的快速成长，电子商业需要保护重要的信息资产，以避免遭受骇客入侵。为电子商业代管提供给客户之内容及应用程序的服务供货商也需要类似的保护。门户网站应用程序及资源受到以下保护： 管理使用者数据（会员服务） 检查使用者身份（认证） 管理后端应用程序的存取（单点登入） 执行存取政策（授权） 本系列最初发表在IBM developerWorks TaiWan，以一系列的 WebSphere Portal Server 应用专辑，来为您介绍 IBM 针对门户网站所推出的全方面解决方案，希望能对您有所助益。本章的重点在于应用程序及门户网站管理者可使用的部分安全功能，以妥善保护门户网站的宝贵信息资产。 会员服务 对大多数环境而言，集中管理使用者身份、凭证、及权限是理想的作法。门户网站服务器包含定义门户网站使用者及管理使用者使用权限的功能。 使用者与群组子系统包含一些网页，使用者可在此注册及管理自己的账户数据，管理portlet 可供管理使用者账户及群组信息，以及可储存所有门户网站使用者信息的容器。它提供的服务可供建立、读取、更新、及删除容器中的使用者或群组。使用者个人数据包含个人信息，例如使用者名称、使用者ID，以及个人喜好信息，例如感兴趣的新闻主题、喜爱的语言等。使用者可能隶属于一个或多个群组，而群组则可包含其它群组。  预设的使用者个人数据属性组是根据inetOrgPerson 数据结构所决定的，此数据结构为大多数LDAP 目录所支持：  使用者容器可能包含多种数据来源。依据预设，容器包含两种资料来源：它是数据库与目录服务器的结合。数据库可以是DB2 或Oracle 数据库。任何一种LDAP [5]目录产品皆有支持，包括Netscape (iPlanet) Directory Server、Microsoft Active Directory、Lotus Domino Name and Address Book、及IBM的SecureWay Directory Server。 使用者个人数据属性与LDAP 对象类别的对应是定义使用于wms.xml的。此档案指定各数据容器的名称、它们的实作类别、及使用者对象各属性与实际容器属性之间的对应。此对应文件亦包含各属性的描述数据，例如数据类型、是否必要、是否可拥有多重值等。 使用者与群组管理可由使用者自己（自助管理）或由门户网站管理者执行。门户网站服务器包含可供新使用者注册的窗体，而管理portlet 可供更新使用者及群组信息。 注册及自助管理窗体可轻易修改以适应新的属性。您只需在窗体中加入新的数据项字段，并使字段的识别名称与新属性名称相符即可。注册servlet将自动储存相对应使用者属性中的新数据。WebSphere Portal InfoCenter 包括更多自订使用者容器实作、注册、及自助管理网页、及数据检查类别等的相关信息。 认证 认证是建立使用者身份的程序。通常，门户网站服务器会使用WebSphere Application Server 所提供的认证服务。另一个选择是使用其它厂商的认证服务器（例如Tivoli Access Manager WebSeal 或Netegrity SiteMinder），这些认证服务器拥有应用程序服务器所信赖的方法。 门户网站服务器使用以窗体为基础的认证。以窗体为基础的认证意指当使用者尝试存取门户网站时，系统会提示使用者在HMTL 窗体中输入使用者ID 及密码以供认证。门户网站服务器会要求应用程序服务器检查认证信息，与轻量目录存取通讯协议(LDAP)的使用者登录数据进行比对。  WebSphere 应用程序服务器使用Lightweight Third Party Authentication (LTPA)做为认证机制。Common Object Request Broker Architecture (CORBA)凭证则用来呈现认证的使用者及群组成员。当使用者尝试存取受保护的资源时，应用程序服务器会拦截此要求，并将它重新导向至登入窗体。此窗体会将使用者ID 与密码传送至门户网站，然后要求应用程序服务器认证该使用者。如果使用者通过认证，则会建立有效的CORBA 凭证，并在使用者计算机中存放LTPA cookie。 如果您的系统使用WebSphere Everyplace Server，则可将门户网站设定为使用We