RunAs-Authentifizierung in Liberty konfigurieren

Während der Authentifizierung können Sie den Prozess an eine andere Identität delegieren, indem Sie die RunAs-Spezifikation für Liberty konfigurieren.

Informationen zu diesem Vorgang

Durch die Zuordnung einer bestimmten Benutzeridentität und eines optionalen Kennworts zu einer RunAs-Rolle können Sie den Authentifizierungsprozess an einen Benutzer mit der RunAs-Rolle delegieren.

Sie müssen die Liberty-Features appSecurity-2.0 und servlet-3.0 aktivieren und benötigen eine Benutzerregistry, damit Ihre Anwendung die RunAs-Rolle konfiguriert.

Weitere Informationen zur RunAs-Authentifizierung finden Sie unter RunAs()-Authentifizierung.

Führen Sie zum Konfigurieren der RunAs-Authentifizierung die folgenden Schritte aus:

Vorgehensweise

  1. Schließen Sie die Liberty-Features appSecurity-2.0 und servlet-3.0 in die Datei server.xml ein.
  2. Konfigurieren Sie eine Benutzerregistry für Ihre Anwendung.
  3. Geben Sie das <run-as>-Element im Implementierungsdeskriptor Ihrer Anwendung an.

    Im Folgenden sehen Sie ein Beispiel für die Datei web.xml, in der nachfolgende Aufrufe an den Benutzer delegiert werden, der der Rolle Employee zugeordnet ist:

         <servlet id="Servlet_1">
              <servlet-name>RunAsServlet</servlet-name>
              <display-name>RunAsServlet</display-name>
              <description>RunAsServlet</description>
              <servlet-class>web.RunAsServlet</servlet-class> 
              <run-as>
                   <role-name>Employee</role-name> 
              </run-as>
          </servlet>    
  4. Konfigurieren Sie die RunAs-Authentifizierung über SAF-Ressourcenprofile, die für z/OS-Benutzer spezifisch sind.
    1. Aktivieren Sie die RunAs-Delegierung über SAF.
      <safAuthorization enableDelegation="true" />
    2. Weisen Sie die RunAs-Benutzeridentität der Anwendungsressource und -rolle zu. Dafür wird die RunAs-Benutzeridentität im Feld APPLDATA des entsprechenden SAF-Ressourcenprofils festgelegt. Das entsprechende SAF-Ressourcenprofil für eine bestimmte Anwendung und Rolle hat standardmäßig den Namen {Profilpräfix}.{Anwendungsname}.{Rollenname} in der SAF-Klasse EJBROLE.

      Dies ist dasselbe Ressourcenprofil, das auch bei der Liberty-SAF-Berechtigung für die Berechtigung von Benutzern für die Anwendung und Rolle verwendet wird. Der Name des Profils wird von der Konfiguration safRoleMapper verwaltet. Weitere Informationen zur Zuordnung von Anwendungs- und Rollennamen und SAF-Profilnamen finden Sie unter Zuordnung von Rollen zu SAF-Profilen steuern.

      Im Folgenden finden Sie einige RACF-Beispielbefehle für die Zuordnung von user5 als RunAs-Benutzer für die Anwendung myapp mit der Rolle Employee:
      RDEFINE EJBROLE BBGZDFLT.myapp.Employee UACC(READ)
      RALTER EJBROLE BBGZDFLT.myapp.Employee APPLDATA('user5')
      SETROPTS GENERIC(EJBROLE) REFRESH
      SETROPTS RACLIST(EJBROLE) REFRESH

Symbol das den Typ des Artikels anzeigt. Taskartikel

Dateiname: twlp_sec_runas.html