In diesem Artikel wird beschrieben, wie Sie Benutzer und Gruppen Rollen zuordnen, wenn Sie die
WebSphere Application Server-Berechtigung
für Java EE-Rollen (Java Platform, Enterprise Edition)
verwenden.
Informationen zu diesem Vorgang
Diese Schritte sind für das Installieren einer Anwendung und das Modifizieren einer vorhandenen Anwendung
identisch. Wenn die Anwendung Rollen enthält, sehen Sie den Link
"Sicherheitsrollen zu Benutzern/Gruppen zuordnen" während der
Anwendungsinstallation
und während der Anwendungsverwaltung im Abschnitt "Weitere Eigenschaften".
- Rufen Sie die Administrationskonsole auf.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Geben Sie in einem Web-Browser den URL
http://localhost:Portnummer/ibm/console ein.
Geben Sie in einem Web-Browser http://Servername:Portnummer/ibm/console ein.
- Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
- Klicken Sie unter "Weitere Eigenschaften" auf Sicherheitsrollen zu Benutzern/Gruppen zuordnen. Daraufhin wird eine Liste aller Rollen für diese Anwendung angezeigt. Wenn die Rollen
bereits Benutzer haben oder eines der Sondersubjekte "AllAuthenticatedUsers", "AllAuthenticatedInTrustedRealms" oder "Everyone"
zugeordnet ist, werden diese hier angezeigt.
- Wenn Sie die Sondersubjekte zuordnen möchten, wählen
Sie für die entsprechenden Rollen die Option Alle oder Alle Authentifizierten im Realm der Anwendung aus.
- Wählen Sie die Rolle aus, um Benutzer oder Gruppen zuzuordnen. Sie können mehrere
Rollen gleichzeitig auswählen, denen dieselben Benutzer oder Gruppen
zugeordnet werden sollen.
- Klicken Sie auf Benutzer suchen oder Gruppen suchen.
- Sie können in der Benutzerregistry nach zutreffenden Benutzern und Gruppen suchen
oder eine Benutzer-/Gruppenrollenzuordnung hinzufügen und auf den Suchvorgang verzichten. Klicken Sie auf Suchen,
um eine dieser Optionen zu aktivieren. Sehen Sie sich die nächsten Schritte an, um die zutreffende Option zu ermitteln,
die Sie benötigen.
- Rufen Sie die entsprechenden Benutzer und Gruppen aus der Benutzerregistry ab. Füllen Sie dazu
die Felder "Grenzwert" und "Suchbegriff" aus
und klicken Sie auf Suchen. Das Feld Grenzwert begrenzt die Anzahl der Benutzer,
die aus der Benutzerregistry abgerufen und angezeigt werden. Als Suchbegriff können Sie Platzhalter verwenden, wenn nach einer Zeichenfolge gesucht werden soll,
die mit mehreren Benutzern und Gruppen übereinstimmt. Bei Eingabe von Benutzer* würden
beispielsweise Einträge wie Benutzer1 und Benutzer2 aufgelistet werden. Wenn Sie als Suchbegriff nur einen Stern (*) eingeben, gilt dieser für alle Benutzer oder Gruppen.
Verwenden Sie die Angaben im Feld "Grenzwert" und "Suchbegriff" mit Bedacht, um die
Benutzerregistry nicht zu überfordern. Wenn Sie große Benutzerregistrys mit Informationen zu Tausenden von Benutzern/Gruppen verwenden (wie z. B. LDAP),
kann
das System bei einer Suche nach vielen Benutzern oder Gruppen
sehr langsam werden oder sogar ausfallen. Sind mehr Einträge vorhanden, als angefordert wurden, wird
eine Nachricht angezeigt. Sie können die Suche verfeinern, bis die erforderliche
Liste abgerufen wird.
Wenn für Ihren Suchbegriff kein Treffer gefunden wird, erscheint eine NULL-Fehlernachricht. Es handelt sich um eine Informationsnachricht, die nicht zwingend auf einen Fehler hinweisen muss,
denn das Nichtvorhandensein von Übereinstimmungen mit den von Ihnen ausgewählten Kriterien ist ein gültiger Zustand.
- Fügen Sie eine benutzer- oder gruppenbezogene Rollenzuordnung hinzu.
Fügen Sie eine benutzer- oder gruppenbezogene
Rollenzuordnung hinzu, indem Sie auf Suchen klicken. Fügen Sie der Liste der eingehenden anerkannten Realms IdP-Realms hinzu.
Für jeden mit Ihrem WAS-Service-Provider verwendeten Identitätsprovider müssen Sie so vorgehen, dass Sie
alle vom Identitätsprovider verwendeten
Realms als eingehende anerkannte Realms zulassen.
- Klicken Sie auf
- Klicken Sie auf
.
- Geben Sie den Namen des externen Realms an.
- Klicken Sie auf und speichern Sie Ihre Änderungen in der Masterkonfiguration. Überspringen Sie die übrigen Schritte.
- Wählen Sie im Feld Verfügbar die Benutzer und Gruppen aus,
die als Member in diese Rollen aufgenommen werden sollen, und klicken Sie auf
>>, um sie den Rollen hinzuzufügen.
- Wenn Sie vorhandene Benutzer und Gruppen entfernen möchten, wählen Sie
sie im Feld Ausgewählt aus und klicken Sie
auf <<. Gehen Sie beim Entfernen vorhandener
Benutzer und Gruppen aus Rollen mit besonderer Sorgfalt vor, wenn dieselben Rollen
als RunAs-Rollen verwendet werden.
Wenn beispielsweise
Benutzer1 der RunAs-Rolle Rolle1 zugeordnet ist und Sie versuchen,
Benutzer1 aus dem Rolle1 zu entfernen, löscht die Administrationskonsole
den Benutzer nicht.
Ein Benutzer kann einer RunAs-Rolle nur dann angehören, wenn der Benutzer
bereits direkt oder indirekt über eine Gruppe einer Rolle zugeordnet ist.
In diesem Fall gehört
Benutzer1 der Rolle1 an. Nähere Informationen zu den Gültigkeitsprüfungen, die
bei der Zuordnung von RunAs-Rollen und der Zuordnung von Benutzern und Gruppen zu Rollen
durchgeführt werden, finden Sie im Artikel Benutzer RunAs-Rollen zuordnen.
- Klicken Sie auf OK. Sollten bei der Gültigkeitsprüfung für die Zuordnung von Rollen und von
RunAs-Rollen Fehler festgestellt werden, können die Änderungen nicht festgeschrieben werden. Dieses Problem
wird in einer entsprechenden Fehlernachricht angezeigt. Liegt ein Fehler vor, stellen Sie sicher, dass
der Benutzer der RunAs-Rolle gleichzeitig Member einer regulären Rolle ist.
Wenn die reguläre Rolle eine Gruppe enthält, die den Benutzer in der RunAs-Rolle enthält,
müssen Sie diese Gruppe mit der Administrationskonsole der Rolle zuordnen.
Führen Sie die Schritte 4 und 5 aus.
Verwenden Sie keinen Prozess, in dem nicht der vollständige Name der Gruppe, Hostname,
Gruppenname oder definierte Name (DN) verwendet wird.
Nächste Schritte
Diese Task ist erforderlich, um Benutzer und Gruppen Rollen zuzuordnen, damit
sichergestellt ist, dass die richtigen Benutzer und Gruppen auf eine gesicherte Anwendung zugreifen. Falls Sie eine Anwendung installieren, führen Sie die Installation durch.
Sobald die Anwendung installiert und aktiv ist, können Sie entsprechend der in dieser Task vorgenommen Zuordnung
der Benutzer und Gruppen auf die Ressourcen zugreifen. Wenn Sie Anwendungen verwalten und die Zuordnung von Benutzern und Gruppen zu Rollen
ändern, müssen Sie die Anwendung stoppen und erneut starten, damit die Änderungen
wirksam werden. Versuchen Sie, in der Anwendung auf die Java EE-Ressourcen zuzugreifen, um zu überprüfen, ob die Änderungen
wirksam sind.
Anmerkung: Je nach Konfiguration Ihrer aktiven Benutzerregistry werden die Suchergebnisse für die
Zuordnungen der Sicherheitsrollen zu Benutzern und Gruppen in unterschiedlichen Formaten angezeigt.
Für ein eingebundenes Repository können LDAP-, dateibasierte und angepasste Registrys verwendet werden.
WebSphere Application Server kann Benutzer aus verschiedenen Registrys über die
in der Tabelle aufgelisteten Namen eindeutig identifizieren.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Achtung: Wenn Sie
WebSphere Application Server in einer verteilten Umgebung mit den Beispielen installieren,
die Sicherheit über eingebundene Repositorys aktivieren und den Server
server1 mit den Beispielanwendungen starten, kann der Server Ausnahmen generieren.
Der Server wird jedoch erfolgreich gestartet.
Der Deployment Manager erstellt beim Erstellen des Deployment-Manager-Profils jedoch keine Benutzer- und Gruppenbeispiele.
Zur Behebung der Ausnahmen, die durch Beispiele verursacht werden, die nicht geladen werden können, erstellen Sie eigene Beispielbenutzer und -gruppen.
Führen Sie in der Administrationskonsole die folgenden Schritte aus:
- Klicken Sie auf Benutzer und Gruppen > Benutzer verwalten.
- Erstellen Sie den Benutzer samples und die Gruppe sampadmn.
Der Benutzer samples gehört zur Gruppe sampadmn.
Wenn Sie weitere Unterstützung benötigen, rufen Sie den Hilfeartikel "Benutzer verwalten" auf.
Klicken Sie dazu im Fenster "Benutzer verwalten" auf
Weitere Informationen zu dieser Seite.