Fordert eine EJB mit dem Aufruf ConnectionFactory.getConnection() eine Verbindung zum EIS an, wird diese Verbindung im abgesicherten Umfeld von BeanConnect aufgebaut. Insbesondere werden die Authentisierungsdaten (Benutzername und Passwort), die für den Zugriff der EJB auf das EIS erforderlich sind, beim Verbindungsaufbau übergeben.
EJBs haben zwei Möglichkeiten, sich beim EIS zu authentisieren:
Von der Anwendung gesteuerte Authentisierung
Vom Container gesteuerte Authentisierung
Es wird die containergesteuerte Authentisierung empfohlen.
Nachfolgend wird die grundsätzliche Vorgehensweise bei anwendungs- und containergesteuerter Authentisierung erläutert.
Anwendungsgesteuerte Authentisierung (application-managed)
In diesem Fall müssen die Authentisierungsdaten über den Programmcode der EJB bereitgestellt werden (siehe Interfaces und Programmierung ). Bei EJBs, die die Authentisierung selbst durchführen, muss das <res-auth>-Tag des zugehörigen EJB Deployment Descriptors wie folgt angegeben werden:
<res-auth>Application</res-auth>
Beispiel für das Setzen durch die EJB:
getConnection(new PasswordCredential(user, password));
Containergesteuerte Authentisierung (container-managed)
In diesem Fall regelt der Application Server den Transfer der Authentisierungsdaten. Bei EJBs, die dem Application Server die Authentisierung ermöglichen, muss das <res-auth>-Tag des zugehörigen EJB Deployment Descriptors wie folgt angegeben werden:
<res-auth>Container</res-auth>
Die Konfiguration der containergesteuerten Authentisierung ist spezifisch für den jeweiligen Application Server.
Für Oracle WebLogic Server gilt Folgendes:
Container-Managed Sign-On im Oracle WebLogic Server basiert auf Outbound Credential Mapping, bei dem WebLogic Credentials (normalerweise User Name und Passwort) auf User Name und Passwort des EIS Partners abgebildet werden.
Allgemein ist zu beachten, dass Oracle WebLogic Server Outbound Credential Mapping nur für das Default Security Realm (normalerweise "myrealm") unterstützt.
Die Abbildung eines WebLogic User Namens auf den User Namen des EIS-Systems kann dabei entweder spezifisch für eine einzelne ManagedConnectionFactory oder aber für den gesamten Resource Adapter vorgenommen werden.
Des weiteren ermöglicht Oracle WebLogic Server die Definition eines Default Mappings für User Namen, für die keine explizite Abbildung definiert ist, sowie das Festlegen eines User Namens für nicht-authentisierte User (Anonymous Mapping).
Oracle WebLogic Server prüft beim Outbound Credential Mapping Folgendes in der angegebenen Reihenfolge:
Ist für den User Namen eine Abbildung für die aktuelle ManagedConnectionFactory definiert oder ist im Falle eines nicht-authentisierten Users ein Anonymous Mapping definiert?
Ist für den User Namen eine Abbildung für den Resource Adapter definiert oder ist im Falle eines nicht-authentisierten Users ein Anonymous Mapping definiert?
Ist für die aktuelle ManagedConnectionFactory ein Default Mapping definiert?
Ist für den Resource Adapter ein Default Mapping definiert?
Für die erste der aufgelisteten Bedingungen, die zutrifft, wird der User Name wie definiert abgebildet.
Wenn keine der Bedingungen zutrifft, übergibt Oracle WebLogic Server keine Authentisierungsdaten an den Resource Adapter. In diesem Fall führt BeanConnect eine anwendungsgesteuerte Authentisierung durch.
Das Outbound Credential Mapping führen Sie bei Oracle WebLogic Server mittels der WebLogic Server Administration Console folgendermaßen durch:
Wählen Sie auf der linken Seite des Ausgabeschirms der WebLogic Server Administration Console die Option Deployments aus.
Klicken Sie auf der Deployments-Seite den Namen des Resource Adapters an.
Wählen Sie auf der Settings-Seite des Resource Adapters nacheinander die Registerkarten Security und Outbound Credential Mapping aus.
Nehmen Sie die gewünschten Abbildungen vor.
Einzelheiten zum Outbound Credential Mapping bei Oracle WebLogic Server sind in der Dokumentation des Application Servers im Abschnitt "Outbound Credential Mappings" beschrieben.