役割の割り当てには 2 つの選択肢があります。
WebSphere Application Server 許可 (管理コンソールの「ユーザー/グループへの
セキュリティー・ロールのマッピング」パネルを使用) と、役割ベースの
許可用の System Authorization Facility (SAF) (Java 2 Platform, Enterprise Edition (J2EE) 役割の
SAF 許可を使用) です。このトピックでは、
管理コンソールの「ユーザー/グループへのセキュリティー・ロールのマッピング」パネルを使用
して (J2EE 役割に対する WebSphere Application Server 許可) ユーザーおよびグループに
役割を割り当てる方法について説明します。
始める前に
この作業を実行する前に、以下のステップを実行します。
- 新規役割が作成済みで、Web リソースおよびエンタープライズ Bean リソースに割り当て済みとなっている、Web
アプリケーションおよび Enterprise JavaBeans (EJB) アプリケーションを保護します。
- アプリケーションですべての役割を作成します。
- 割り当てるユーザーを含むユーザー・レジストリーが正しく構成されていることを確認します。
このプロセスを始める前に、選択したユーザー・レジストリーで
セキュリティーをオンにしておくことをお勧めします。
- セキュリティー構成で何らかの変更を行った場合、
変更を有効にするには、構成を保管してサーバーを再始動してください(例えば、
セキュリティーの使用可能化や、ユーザー・レジストリーの変更など)。
このタスクについて
これらのステップは、アプリケーションのインストール、
および既存アプリケーションの変更の両方に共通です。
アプリケーションに役割が含まれている場合、アプリケーションのインストール中、
およびアプリケーションの管理中に、「追加プロパティー」セクションのリンクとして、
「Security role to user/group mapping」リンクが表示されます。
プロシージャー
- 管理コンソールにアクセスします。
Web ブラウザーに http://server_name:port_number/ibm/console と入力します。
- 「アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」とクリックします。
- 「詳細」プロパティーの下の「ユーザー/グループ・マッピングへのセキュリティー・ロール」をクリックします。 このアプリケーションに属するすべての役割のリストが表示されます。すでに役割にユーザー、全認証者、または特別な対象である「全員」が割り当て済みの場合は、ここに表示されます。
- 特別な対象を割り当てるには、該当する役割の「
全員」オプションか「全認証者」オプションのいずれかを選択します。
- ユーザーまたはグループを割り当てるには、役割を選択します。 同一のユーザーまたはグループをすべての役割に割り当てる場合は、
同時に複数の役割を選択することができます。
- 「ユーザーのルックアップ」または「グループのルックアップ」をクリックします。
- 「limit」および「検索ストリング」の各フィールド
に入力し、「検索」をクリックして、ユーザー・レジストリーから該当するユーザーとグループを取得します。
「Limit」フィールドは、ユーザー・レジストリーから取得して表示する
ユーザーの数を制限します。パターンは、1 つ以上のユーザーやグループを突き合わせる
検索可能なパターンです。
例えば、user* は、user1、user2 のようなユーザーをリストします。
アスタリスク (*) のパターンはすべてのユーザーまたはグループを表します。
制限ストリングと検索ストリングは、
慎重に使用して、ユーザー・レジストリーを圧倒しないようにしてください。
何千というユーザーやグループの情報が格納されている大容量ユーザー・レジストリー (Lightweight Directory Access Protocol (LDAP) など) を
使用している場合、多数のユーザーやグループを検索すると、
システムが遅くなったり、障害が発生したりすることがあります。エントリーに対する要求よりも多くのエントリーがある場合は、
メッセージがパネルの上部に表示されます。
必要なリストを手に入れるまで、検索を詳細化することができます。
- 「使用可能」フィールドから、これらの役割のメンバーとして
組み込むユーザーとグループを選択し、「>>」をクリックしてそれらを役割に
追加します。
- 既存のユーザーやグループを除去するには、「選択」フィールドからそれらを選択し、
「<<」をクリックします。 役割から既存のユーザーやグループを除去する際に、
それらの役割が RunAs 役割として使用されていないか注意してください。
例えば、ユーザー user1 が、役割 role1 RunAs に割り当てられ、ユーザー user1 を役割 role1 から除去しようとする場合、管理コンソールの妥当性検証は、ユーザーを削除しません。ユーザーが、グループを介してすでに役割内に直接または間接的に存在する場合、ユーザーは役割 RunAs の一部としてのみ存在することができます。この場合、ユーザー user1 は、役割 role1 内に存在します。
RunAs 役割マッピングと、役割へのユーザーおよびグループのマッピングとの
間で実行される妥当性検査について詳しくは、RunAs 役割へのユーザーの割り当て
を参照してください。
- 「OK」をクリックします。 役割割り当てと RunAs 役割割り当てとの間に妥当性に関する何らかの問題がある場合は、
変更が確定されず、問題を示すエラー・メッセージがパネルの上部に表示されます。
問題がある場合は、RunAs 役割内のユーザーが通常の役割のメンバーになっていないか
確認してください。RunAs 役割内のユーザーを含んでいるグループが
通常の役割に含まれている場合は、管理コンソールを使用して、そのグループを役割に
割り当ててください。ステップ 4 および 5 を実行します。
アプリケーション・サーバー・ツールキット、またはグループの完全な名前、ホスト名、グループ名、
または識別名 (DN) を使用しないその他の手動処理は使用しないでください。
結果
ユーザーおよびグループの情報は、
アプリケーション内のバインディング・ファイルに追加されます。
この情報は、後で認証のために使用されます。
次の作業
このタスクはユーザーおよびグループを役割に割り当てるために必要です。
これにより正しいユーザーおよびグループが保護されたアプリケーションにアクセスできるようになります。アプリケーションをインストールする場合は、インストールを完了してください。アプリケーションをインストールし、稼働させると、
この作業で実行したユーザーとグループのマッピングに従って、
リソースへアクセスすることができます。アプリケーションを管理しているときに、
ユーザーとグループを役割に割り当てるマッピングを変更した場合は、
変更を有効にするために、アプリケーションを保管、停止してから始動してください。
変更が有効になっていることを確認するために、アプリケーション内の J2EE リソース
にアクセスしてみてください。
注: セキュリティー・ユーザー役割マッピングまたは
セキュリティー・グループ役割マッピングの検索結果は、アクティブ・ユーザー・レジストリーの構成方法に応じて、
それぞれ異なる形式で表示されます。フェデレーテッド・リポジトリーでは、LDAP、ファイル・ベース、
カスタムの各レジストリーが使用できます。WebSphere Application Server は、
各種レジストリーのユーザーを、テーブルにリストされているユーザー名によって一意的に識別できます。
重要:
分散環境では、サンプル付きの WebSphere Application Server をインストールし、
フェデレーテッド・リポジトリーを使用してセキュリティーを使用可能にし、サンプル・アプリケーションで
server1 サーバーを始動すると、サーバーで例外が発生する場合があります。
ただし、サーバーは正常に始動します。
デプロイメント・マネージャーは、デプロイメント・マネージャーのプロファイルを作成したときに、
ユーザー・サンプルおよびグループ・サンプルを作成しませんでした。
ロードを失敗させるサンプルに原因がある例外を解決するには、独自のサンプル・ユーザーおよびサンプル・グループを作成します。管理コンソールで以下を実行します。
- 「ユーザーおよびグループ」>「ユーザーの管理 (Manage Users)」をクリックします。
- samples ユーザーと sampadmn グループを作成します。
samples ユーザーは、sampadmn グループのメンバーです。
詳しくは、「Manage Users」パネルの右上にある「
このページについての詳細情報」をクリックして、
「Managing users」ヘルプ・トピックを参照してください。