Für z/OS-Plattformen

Liberty: Zuordnung von Rollen zu SAF-Profilen steuern

Der SAF-Rollenmapper (System Authorization Facility) bestimmt, wie EJBROLE-Profilnamen aus anwendungsdefinierten Rollennamen generiert werden. Der Mapper wird aufgerufen, wenn eine SAF-Berechtigung für eine Anwendungsrolle durchgeführt wird. Die Berechtigungsprüfung für die Anwendungsrolle wird mithilfe des zugrunde liegenden SAF-Sicherheitsprodukts unter Verwendung des vom SAF-Rollenmapper generierten zugeordneten Profilnamens durchgeführt.

Der SAF-Rollenmapper kann mit dem Konfigurationselement <safRoleMapper> konfiguriert werden.
<safRoleMapper profilePattern="myprofile.%resource%.%role%" toUpperCase="true" />

Attribute

profilePattern="<string>"
Das Muster, das verwendet wird, um Anwendungsrollen Profilnamen zuzuordnen.
  • %role% wird zur Laufzeit durch den Wert der Anwendungsrolle ersetzt.
  • %resource% wird durch den Ressourcennamen ersetzt, z. B. den Anwendungsnamen.
Für profilePattern="myprofile.%resource%.%role%" ist das generierte Profil für die Prüfung des Zugriffs auf die Ressource "myapp" für die Rolle "admin" beispielsweise myprofile.myapp.admin.
Im Folgenden sehen Sie die Liste der unterstützten Substitutionsvariablen:
%role%
Der Name der Anwendungsrolle. Für die Administratorrolle ist der Wert Administrator.
%resource%
Der Name der geschützten Ressource. Für die Sicherheitsverwaltung ist der Ressourcenname com.ibm.ws.management.security.resource.
%profilePrefix%
Das Profilpräfix, das mit dem Attribut "profilePrefix" im Konfigurationselement <safCredentials> definiert ist. Der Standardwert ist BBGZDFLT.
Wenn Sie diese Variable nicht angeben, wird standardmäßig profilePattern= "%profilePrefix%.%resource%.%role%" verwendet.
toUpperCase="true|false"
Gibt an, ob der zugeordnete Profilname in Großbuchstaben umgesetzt werden muss.
Wenn Sie diese Variable nicht angeben, findet standardmäßig keine Umsetzung statt.
Anmerkung: Der SAF-Rollenmapper ersetzt automatisch alle Platzhalterzeichen (%&*) und Leerzeichen im zugeordneten Profilnamen durch das Zeichen '#'.

Symbol das den Typ des Artikels anzeigt. Referenzartikel

Dateiname: rwlp_SAF_rolemapper.html