Sécurisation de l'environnement de traitement par lots Liberty
L'infrastructure par lots de Liberty permet de configurer un accès basé sur les rôles à toutes les opérations de gestion par lots, mais aussi d'afficher les métadonnées et les journaux associés aux travaux par lots.
Avant de commencer
- batchAdmin
- Un rôle batchAdmin a un accès non restreint à toutes les opérations de traitement par lots. Cela inclut le droit de soumettre de nouveaux travaux, d'arrêter et de redémarrer les travaux d'un utilisateur, d'afficher des métadonnées de travail et des journaux de travaux qui sont soumis par un utilisateur dans le domaine par lots et de purger des travaux. Un utilisateur batchAdmin n'est pas nécessairement un administrateur WebSphere Application Server.
batchGroupAdmin
Si des utilisateurs détiennent le rôle batchGroupAdmin et sont membres du groupe d'opérations dans lequel les travaux sont affectés, ils peuvent accéder à toutes les opérations de traitement par lots relatives à ces travaux. Les utilisateurs qui détiennent le rôle batchGroupAdmin peuvent arrêter, répéter, redémarrer et afficher n'importe quel travail, mais ils ne peuvent pas soumettre de nouveaux travaux sauf s'ils détiennent également le rôle batchSubmitter. Un utilisateur batchGroupAdmin peut afficher des métadonnées de travail et des journaux de travail, ainsi que des travaux de purge qui ont été soumis par d'autres utilisateurs du même groupe d'opérations. Un utilisateur batchGroupAdmin n'est pas nécessairement un administrateur WebSphere Application Server.
- batchSubmitter
- Un rôle batchSubmitter a le droit de soumettre de nouveaux travaux et peut uniquement effectuer des opérations de traitement par lots, comme l'arrêt, le redémarrage ou la purge de ses propres travaux. Il ne peut pas afficher ou modifier les travaux d'autres utilisateurs. Par exemple, si user1 et user2 sont définis avec le rôle batchSubmitters, et si user1 soumet un travail, user2 ne peut pas afficher les données d'instance de travail qui sont associées au travail de user1.
- batchMonitor
- Les utilisateurs disposant du rôle batchMonitor possèdent des droits de lecture seule sur tous les travaux. Les utilisateurs ayant ce rôle peuvent afficher toutes les instances et exécutions de travail et ils ont accès à tous les journaux de travail. Les utilisateurs possédant le rôle batchMonitor ne peuvent pas soumettre leurs propres travaux, ni arrêter, redémarrer ou purger des travaux.
batchGroupMonitor
Un utilisateur batchGroupMonitor possède des droits d'accès en lecture seule sur tous les travaux qui sont associés au groupe d'opérations auquel l'utilisateur appartient. Les utilisateurs ayant ce rôle peuvent afficher toutes les instances et exécutions de travail et ils ont accès à tous les journaux de travail relatifs aux journaux inclus dans la portée de leur groupe d'opérations. Un utilisateur batchGroupMonitor ne peut pas soumettre, arrêter, redémarrer ou purger des travaux.
Remarque : Une fois que la sécurité par lots est activée, toute méthode d'API JobOperator ou opération REST qui renvoie une liste est filtrée en fonction des rôles par lots accordés à
l'utilisateur en cours. Par exemple, lorsqu'un utilisateur possédant uniquement des droits batchSubmitter demande une liste de toutes les instances de travail, seules les instances de
travail soumises par l'utilisateur en cours sont renvoyées.