Configuration de l'authentification RunAs dans Liberty

Vous pouvez déléguer l'authentification à une autre identité en configurant la spécification RunAs pour Liberty.

Pourquoi et quand exécuter cette tâche

En mappant une identité d'utilisateur spécifique et un mot de passe facultatif à un rôle RunAs, vous pouvez déléguer l'authentification à un utilisateur associé au rôle RunAs.

Pour configurer le rôle RunAs, vous devez activer les dispositifs Liberty appSecurity-2.0 et servlet-3.0 et disposer d'un registre d'utilisateurs pour votre application.

Pour plus d'informations sur l'authentification RunAs, voir Authentification RunAs().

Pour configurer l'authentification RunAs, procédez comme suit :

Procédure

  1. Activez les fonctions Liberty appSecurity-2.0 et servlet-3.0 dans le fichier server.xml.
  2. Configurez un registre d'utilisateurs pour votre application.
  3. Spécifiez l'élément <run-as> dans le descripteur de déploiement de votre application.

    L'exemple suivant de fichier web.xml spécifie que les appels consécutifs doivent être délégués à l'utilisateur qui est mappé au rôle Employee :

         <servlet id="Servlet_1">
              <servlet-name>RunAsServlet</servlet-name>
              <display-name>RunAsServlet</display-name>
              <description>RunAsServlet</description>
              <servlet-class>web.RunAsServlet</servlet-class> 
              <run-as>
                   <role-name>Employee</role-name> 
              </run-as>
          </servlet>    
  4. Configurez l'authentification RunAs via des profils de ressource SAF, ce qui est spécifique aux utilisateurs z/OS.
    1. Activez la délégation RunAs via SAF.
      <safAuthorization enableDelegation="true" />
    2. Affectez l'identité de l'utilisateur RunAs à la ressource et au rôle d'application. Pour ce faire, définissez l'identité de l'utilisateur RunAs dans la zone APPLDATA du profil de ressource SAF correspondant. Par défaut, le profil de ressource SAF correspondant à une application et un rôle donnés s'appelle {profilePrefix}.{appName}.{roleName} dans la classe SAF EJBROLE.

      Il s'agit du même profil de ressource utilisé par Liberty SAF Authorization pour l'autorisation d'utilisateurs sur l'application et le rôle. Le nom du profil respecte la configuration safRoleMapper. Pour plus d'informations sur le mappage de noms de rôles et d'applications à des noms de profil SAF, voir Contrôle de la manière dont les rôles sont mappés aux profils SAF.

      Voici quelques exemples de commandes RACF pour l'affectation de user5 en tant qu'utilisateur RunAs pour l'application myapp et le rôle Employee:
      RDEFINE EJBROLE BBGZDFLT.myapp.Employee UACC(READ)
      RALTER EJBROLE BBGZDFLT.myapp.Employee APPLDATA('user5')
      SETROPTS GENERIC(EJBROLE) REFRESH
      SETROPTS RACLIST(EJBROLE) REFRESH

Icône indiquant le type de rubrique Rubrique Tâche

Nom du fichier : twlp_sec_runas.html