WebSphere Application Server - Express, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

役割へのユーザーおよびグループの割り当て

役割の割り当てには 2 つの選択肢があります。 WebSphere Application Server 許可 (管理コンソールの「ユーザー/グループへの セキュリティー・ロールのマッピング」パネルを使用) と、役割ベースの 許可用の System Authorization Facility (SAF) (Java 2 Platform, Enterprise Edition (J2EE) 役割の SAF 許可を使用) です。このトピックでは、 管理コンソールの「ユーザー/グループへのセキュリティー・ロールのマッピング」パネルを使用 して (J2EE 役割に対する WebSphere Application Server 許可) ユーザーおよびグループに 役割を割り当てる方法について説明します。

始める前に

この作業を実行する前に、以下のステップを実行します。

このタスクについて

これらのステップは、アプリケーションのインストール、 および既存アプリケーションの変更の両方に共通です。 アプリケーションに役割が含まれている場合、アプリケーションのインストール中、 およびアプリケーションの管理中に、「追加プロパティー」セクションのリンクとして、 「Security role to user/group mapping」リンクが表示されます。

プロシージャー

  1. 管理コンソールにアクセスします。

    Web ブラウザーに http://localhost:port_number/ibm/console と入力します。

  2. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」とクリックします。
  3. 「詳細」プロパティーの下の「ユーザー/グループ・マッピングへのセキュリティー・ロール」をクリックします。 このアプリケーションに属するすべての役割のリストが表示されます。すでに役割にユーザー、全認証者、または特別な対象である「全員」が割り当て済みの場合は、ここに表示されます。
  4. 特別な対象を割り当てるには、該当する役割の「 全員」オプションか「全認証者」オプションのいずれかを選択します。
  5. ユーザーまたはグループを割り当てるには、役割を選択します。 同一のユーザーまたはグループをすべての役割に割り当てる場合は、 同時に複数の役割を選択することができます。
  6. ユーザーのルックアップ」または「グループのルックアップ」をクリックします。
  7. 「limit」および「検索ストリング」の各フィールド に入力し、「検索」をクリックして、ユーザー・レジストリーから該当するユーザーとグループを取得します。 「Limit」フィールドは、ユーザー・レジストリーから取得して表示する ユーザーの数を制限します。パターンは、1 つ以上のユーザーやグループを突き合わせる 検索可能なパターンです。 例えば、user* は、user1、user2 のようなユーザーをリストします。 アスタリスク (*) のパターンはすべてのユーザーまたはグループを表します。

    制限ストリングと検索ストリングは、 慎重に使用して、ユーザー・レジストリーを圧倒しないようにしてください。 何千というユーザーやグループの情報が格納されている大容量ユーザー・レジストリー (Lightweight Directory Access Protocol (LDAP) など) を 使用している場合、多数のユーザーやグループを検索すると、 システムが遅くなったり、障害が発生したりすることがあります。エントリーに対する要求よりも多くのエントリーがある場合は、 メッセージがパネルの上部に表示されます。 必要なリストを手に入れるまで、検索を詳細化することができます。

  8. 使用可能」フィールドから、これらの役割のメンバーとして 組み込むユーザーとグループを選択し、「>>」をクリックしてそれらを役割に 追加します。
  9. 既存のユーザーやグループを除去するには、「選択」フィールドからそれらを選択し、 「<<」をクリックします。 役割から既存のユーザーやグループを除去する際に、 それらの役割が RunAs 役割として使用されていないか注意してください。

    例えば、ユーザー user1 が、役割 role1 RunAs に割り当てられ、ユーザー user1 を役割 role1 から除去しようとする場合、管理コンソールの妥当性検証は、ユーザーを削除しません。ユーザーが、グループを介してすでに役割内に直接または間接的に存在する場合、ユーザーは役割 RunAs の一部としてのみ存在することができます。この場合、ユーザー user1 は、役割 role1 内に存在します。 RunAs 役割マッピングと、役割へのユーザーおよびグループのマッピングとの 間で実行される妥当性検査について詳しくは、RunAs 役割へのユーザーの割り当て を参照してください。

  10. OK」をクリックします。 役割割り当てと RunAs 役割割り当てとの間に妥当性に関する何らかの問題がある場合は、 変更が確定されず、問題を示すエラー・メッセージがパネルの上部に表示されます。 問題がある場合は、RunAs 役割内のユーザーが通常の役割のメンバーになっていないか 確認してください。RunAs 役割内のユーザーを含んでいるグループが 通常の役割に含まれている場合は、管理コンソールを使用して、そのグループを役割に 割り当ててください。ステップ 4 および 5 を実行します。 アプリケーション・サーバー・ツールキット、またはグループの完全な名前、ホスト名、グループ名、 または識別名 (DN) を使用しないその他の手動処理は使用しないでください。

結果

ユーザーおよびグループの情報は、 アプリケーション内のバインディング・ファイルに追加されます。 この情報は、後で認証のために使用されます。

次の作業

このタスクはユーザーおよびグループを役割に割り当てるために必要です。 これにより正しいユーザーおよびグループが保護されたアプリケーションにアクセスできるようになります。アプリケーションをインストールする場合は、インストールを完了してください。アプリケーションをインストールし、稼働させると、 この作業で実行したユーザーとグループのマッピングに従って、 リソースへアクセスすることができます。アプリケーションを管理しているときに、 ユーザーとグループを役割に割り当てるマッピングを変更した場合は、 変更を有効にするために、アプリケーションを保管、停止してから始動してください。 変更が有効になっていることを確認するために、アプリケーション内の J2EE リソース にアクセスしてみてください。
注: セキュリティー・ユーザー役割マッピングまたは セキュリティー・グループ役割マッピングの検索結果は、アクティブ・ユーザー・レジストリーの構成方法に応じて、 それぞれ異なる形式で表示されます。フェデレーテッド・リポジトリーでは、LDAP、ファイル・ベース、 カスタムの各レジストリーが使用できます。WebSphere Application Server は、 各種レジストリーのユーザーを、テーブルにリストされているユーザー名によって一意的に識別できます。
重要: 分散環境では、サンプル付きの WebSphere Application Server をインストールし、 フェデレーテッド・リポジトリーを使用してセキュリティーを使用可能にし、サンプル・アプリケーションで server1 サーバーを始動すると、サーバーで例外が発生する場合があります。 ただし、サーバーは正常に始動します。 デプロイメント・マネージャーは、デプロイメント・マネージャーのプロファイルを作成したときに、 ユーザー・サンプルおよびグループ・サンプルを作成しませんでした。 ロードを失敗させるサンプルに原因がある例外を解決するには、独自のサンプル・ユーザーおよびサンプル・グループを作成します。管理コンソールで以下を実行します。
  1. ユーザーおよびグループ」>「ユーザーの管理 (Manage Users)」をクリックします。
  2. samples ユーザーと sampadmn グループを作成します。 samples ユーザーは、sampadmn グループのメンバーです。
詳しくは、「Manage Users」パネルの右上にある「このページについての詳細情報」をクリックして、 「Managing users」ヘルプ・トピックを参照してください。



サブトピック
アセンブリー・ツールを使用したユーザーおよびグループの役割への追加
ユーザーの役割へのマッピング
ユーザーおよびグループ検索設定
RunAs 役割へのユーザーの割り当て
関連タスク
セキュリティーの使用可能化
アセンブリーおよびデプロイメント中のアプリケーションの保護
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 6:25:35 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.doc/info/exp/ae/tsec_tasroles.html