使用 AquaLogic Enterprise Security 实现集中式安全策略：第1部分

作者：William Dettelback
09/19/2007

摘要

AquaLogic Enterprise Security (ALES)为应用程序和服务提供了一个集中式的安全策略工具。ALES与WebLogic Server和基于WebLogic Server的产品构建于相同的核心安全框架之上。这样便可以使用ALES替代这些工具来执行授权决策，并可以将此类安全策略集中到一个存储库中。这种方法的好处是更易于策略维护并且降低了管理的复杂性，因为许多授权决策都需要在多个产品中执行。

本文将讨论如何在WebLogic Portal和AquaLogic Data Services Platform（ALDSP）中结合使用ALES，并且将探究为何ALES所带来的安全策略机制对门户或数据的创建方式几乎没有影响。

理解ALES

AquaLogic Enterprise Security基于一个固有的分布式架构。它在Administration Server中提供了一个集中式的策略管理点（Policy Administration Point，PAP），并以安全服务模块（Security Service Modules，SSM）的形式提供了一些分布式的策略决策点（Security Service Modules，SSM）。SSM拥有各种形式，其中有一种SSM用于插入基于WebLogic Server的应用程序。比如说，如果在WebLogic Portal中插入了一个SSM，那么门户应用程序的授权就可以通过ALES来处理（而不是默认的安全提供程序）。

ALES提供了一种集中式管理授权策略的机制，可应用于任何数量的域和应用程序，并且可以将这些策略分发给正确的SSM。如果您拥有许多全异的WebLogic Portal域，并且它们都需要一些公共的安全策略，那么这种机制将带来巨大的好处。在ALES的帮助下，您可以在一个地点管理这些策略，将让基础架构为您执行分发任务。如果考虑在众多BEA产品（如WebLogic Server、WebLogic Integration、AquaLogic Data Services Platform和AquaLogic Service Bus）中都插入ALES，那么它带来的好处将会更多。

更确切地说，“插入”的实现需要依靠WebLogic Server中的核心安全框架。该框架的内部原理是基于可插入的安全提供程序，以提供身份验证、授权、角色映射、凭证映射和审计功能。ALES SSM代表一个高度专门化的身份验证提供程序和角色映射提供程序。由于构建在WebLogic Server之上的任何BEA产品都使用该安全框架保护自己，因此它们可以自动将授权决策传递给ALES（如果这样配置的话）。

这样，ALES安全策略便会覆盖基于WebLogic Server的各个产品中所定义的安全策略。这意味着安全策略已经完全从应用程序和服务本身具体化出来了，这确实是一件好事。