.. _AvanzataAuthPrincipal: Autenticazione e Autorizzazione Principal (Security Constraint) --------------------------------------------------------------- In precedenza, relativamente alla configurazione del controllo degli accessi, ed in particolare del meccanismo di autenticazione, si è indicata anche la possibilità di utilizzare il tipo *principal*. Questa configurazione richiede che l'autenticazione sia delegata all'application server o qualunque altra modalità che permetta a GovWay di accedere al principal tramite la api *HttpServletRequest.getUserPrincipal()*. In precedenza, relativamente all'autorizzazione, si è descritta la possibilità di utilizzare ruoli con fonte *esterna*. Questa fonte richiede che la gestione dei ruoli sia delegata all'Application Server o a qualunque altra modalità che permetta a GovWay di accedere ai ruoli tramite la api *HttpServletRequest.isUserInRole()*. Le modalità di configurazione di utenti e ruoli sull'application server variano in funzione della versione utilizzata e pertanto si rimanda alla documentazione del prodotto. È inoltre richiesto che l'applicazione utente sia protetta tramite un *security-constraint*. Per abilitare la protezione è necessario intervenire all'interno dell'archivio govway.ear, editando il file definito nel war *'govway.war/WEB-INF/web.xml'*, dove è presente una configurazione di security constraint di default progettata per le url dei servizi esposti da GovWay nei vari profili di interoperabilità. Il metodo di autenticazione impostato per default è *HTTP-BASIC*. Per abilitare la protezione è sufficiente scommentare l'intera sezione che viene riportata di seguito. ::