For z/OS platforms

Liberty: ロールを SAF プロファイルにマップする方法の制御

System Authorization Facility (SAF) ロール・マッパーは、 アプリケーション定義のロール名から EJBROLE プロファイル名を生成する方法を決定します。 アプリケーション・ロールについて SAF 許可が実行されるたびに、マッパーが起動されます。 SAF ロール・マッパーによって生成されたマップ済みプロファイル名を使用して、 基盤の SAF セキュリティー製品でアプリケーション・ロールの許可検査が実行されます。

SAF ロール・マッパーは、<safRoleMapper> 構成エレメントを使用して構成できます。
<safRoleMapper profilePattern="myprofile.%resource%.%role%" toUpperCase="true" />

属性

profilePattern="<string>"
アプリケーション・ロールをプロファイル名にマップするために使用されるパターン。
  • %role% は、実行時にアプリケーション・ロールの値に置き換えられます。
  • %resource% はリソース名に置き換えられます。 例えば、アプリケーション名などです。
例えば、profilePattern="myprofile.%resource%.%role%" の場合、 「admin」ロールのリソース「myapp」へのアクセス検査用に生成されるプロファイルは myprofile.myapp.admin になります。
サポートされる置換変数のリスト:
%role%
アプリケーション・ロール名。管理者ロールの場合の値は Administrator です。
%resource%
保護されているリソース名。セキュリティー管理の場合、リソース名は com.ibm.ws.management.security.resource です。
%profilePrefix%
<safCredentials> 構成エレメントの profilePrefix 属性で定義されている profilePrefix。デフォルト値は BBGZDFLT です。
指定しない場合、デフォルトは profilePattern= "%profilePrefix%.%resource%.%role%" です。
toUpperCase="true|false"
マップされたプロファイル名を大文字に変換するかどうかを指示します。
指定しないと、デフォルトは false です。
注: SAF ロール・マッパーは、マップされたプロファイル名にワイルドカード文字 (%&*) および空白があれば、それを「#」文字に自動的に置換します。

トピックのタイプを示すアイコン 参照トピック

ファイル名: rwlp_SAF_rolemapper.html