Java 2 Platform、Enterprise Edition (J2EE) 役割ベースの許可モデルでは、役割およびリソースの概念が使用されています。 ここに例を提供します。
メソッド | |||
役割 | getBalance | deposit | closeAccount |
テラー | 認可 | 認可 | |
レジ係り | 認可 | ||
スーパーバイザー | 認可 |
上記の表で概念が説明されているバンキング・アプリケーションの例では 、次の 3 つの役割が定義されています。 テラー、レジ係り、スーパーバイザーです。getBalance、deposit および closeAccount のアプリケーション・メソッドを実行する 許可は、これらの役割にマップされています。 その例から、スーパーバイザーの役割に割り当てられたユーザーが closeAccount メソッドを実行できるのに対し、 他の 2 つの役割ではこのメソッドを実行できないことがわかります。
プリンシパルという用語は、WebSphere Application Sever セキュリティー内では、アクティビティーを実行する人またはプロセスを意味します。 グループ は、WebSphere Application Server 内に構成されているプリンシパルの論理コレクションであり、 これによりセキュリティーが簡単に適用できるようになります。 役割はプリンシパルまたはグループ、あるいはその両方にマップすることができます。次の表において呼び出されているエントリーは、 プリンシパルまたはグループが、その役割に認可されたメソッドを呼び出すことができることを示しています。
役割 | |||
プリンシパル/グループ | テラー | レジ係り | スーパーバイザー |
TellerGroup | 呼び出す | ||
CashierGroup | 呼び出す | ||
SupervisorGroup | |||
Frank: 上記のグループのメンバーではないプリンシパル | 呼び出す | 呼び出す |
アプリケーションのデプロイメント時に、Tivoli Access Manager の Java Authorization Contract for Container (JACC) プロバイダーは、そのアプリケーションのデプロイメント記述子に含まれるセキュリティー・ポリシー情報とともに、Tivoli Access Manager で保護されたオブジェクト・スペースを取り込みます。 このセキュリティー情報を使用して、WebSphere Application Server リソースが要求されているときにアクセスを決定します。
デフォルトでは、Tivoli Access Manager のアクセス検査は、役割名、セル名、アプリケーション名、およびモジュール名を使用して実行されます。
Tivoli Access Manager アクセス・コントロール・リスト (ACL) は、どのアプリケーション役割がプリンシパルに割り当てられているかを判別します。 ACL は、アプリケーションのデプロイメント時に、Tivoli Access Manager で保護されたオブジェクト・スペース内のアプリケーションに付加されます。
プリンシパルから役割へのマッピングは、WebSphere Application Server 管理コンソールから管理され、Tivoli Access Manager を使用して変更されることはありません。 ACL への直接更新は、管理セキュリティー・ユーザーに対してのみ実行されます。