Benutzer und Gruppen Rollen zuordnen

In diesem Artikel wird beschrieben, wie Sie Benutzer und Gruppen Rollen zuordnen, wenn Sie die WebSphere Application Server-Berechtigung für Java EE-Rollen (Java Platform, Enterprise Edition) verwenden.

Vorbereitende Schritte

Fehler vermeiden Fehler vermeiden: Wenn Sie die SAF-Berechtigung (System Authorization Facility) für J2EE-Rollen (Java™ 2 EE) verwenden, finden Sie im Artikel System Authorization Facility (SAF) für rollenbasierte Berechtigung weitere Informationen.gotcha

Bereiten Sie diese Task wie folgt vor:

  • Schützen Sie die Webanwendungen und EJB-Anwendungen, wenn neue Rollen erstellt und den Webressourcen und Enterprise-Bean-Ressourcen zugeordnet werden.
  • Erstellen Sie alle Rollen für Ihre Anwendung.
  • Stellen Sie sicher, dass die Benutzerregistry, die Benutzer, die Sie zuordnen möchten, ordnungsgemäß konfiguriert ist. Es ist ratsam, die Sicherheit mit der Benutzerregistry Ihrer Wahl zu aktivieren, bevor Sie mit diesem Prozess beginnen.
  • Falls Sie Änderungen an der Sicherheitskonfiguration vorgenommen haben, müssen Sie die Konfiguration speichern und den Server erneut starten, damit die Änderungen wirksam werden. Aktivieren Sie beispielsweise die Sicherheit oder ändern Sie die Benutzerregistry.

Informationen zu diesem Vorgang

Diese Schritte sind für das Installieren einer Anwendung und das Modifizieren einer vorhandenen Anwendung identisch. Wenn die Anwendung Rollen enthält, sehen Sie den Link "Sicherheitsrollen zu Benutzern/Gruppen zuordnen" während der Anwendungsinstallation und während der Anwendungsverwaltung im Abschnitt "Weitere Eigenschaften".

Vorgehensweise

  1. Rufen Sie die Administrationskonsole auf.

    [AIX Solaris HP-UX Linux Windows][z/OS]Geben Sie in einem Web-Browser den URL http://localhost:Portnummer/ibm/console ein.

    [IBM i]Geben Sie in einem Web-Browser http://Servername:Portnummer/ibm/console ein.

  2. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
  3. Klicken Sie unter "Weitere Eigenschaften" auf Sicherheitsrollen zu Benutzern/Gruppen zuordnen. Daraufhin wird eine Liste aller Rollen für diese Anwendung angezeigt. Wenn die Rollen bereits Benutzer haben oder eines der Sondersubjekte "AllAuthenticatedUsers", "AllAuthenticatedInTrustedRealms" oder "Everyone" zugeordnet ist, werden diese hier angezeigt.
  4. Wenn Sie die Sondersubjekte zuordnen möchten, wählen Sie für die entsprechenden Rollen die Option Alle oder Alle Authentifizierten im Realm der Anwendung aus.
  5. Wählen Sie die Rolle aus, um Benutzer oder Gruppen zuzuordnen. Sie können mehrere Rollen gleichzeitig auswählen, denen dieselben Benutzer oder Gruppen zugeordnet werden sollen.
  6. Klicken Sie auf Benutzer suchen oder Gruppen suchen.
  7. Sie können in der Benutzerregistry nach zutreffenden Benutzern und Gruppen suchen oder eine Benutzer-/Gruppenrollenzuordnung hinzufügen und auf den Suchvorgang verzichten. Klicken Sie auf Suchen, um eine dieser Optionen zu aktivieren. Sehen Sie sich die nächsten Schritte an, um die zutreffende Option zu ermitteln, die Sie benötigen.
  8. Rufen Sie die entsprechenden Benutzer und Gruppen aus der Benutzerregistry ab. Füllen Sie dazu die Felder "Grenzwert" und "Suchbegriff" aus und klicken Sie auf Suchen. Das Feld Grenzwert begrenzt die Anzahl der Benutzer, die aus der Benutzerregistry abgerufen und angezeigt werden. Als Suchbegriff können Sie Platzhalter verwenden, wenn nach einer Zeichenfolge gesucht werden soll, die mit mehreren Benutzern und Gruppen übereinstimmt. Bei Eingabe von Benutzer* würden beispielsweise Einträge wie Benutzer1 und Benutzer2 aufgelistet werden. Wenn Sie als Suchbegriff nur einen Stern (*) eingeben, gilt dieser für alle Benutzer oder Gruppen.

    Verwenden Sie die Angaben im Feld "Grenzwert" und "Suchbegriff" mit Bedacht, um die Benutzerregistry nicht zu überfordern. Wenn Sie große Benutzerregistrys mit Informationen zu Tausenden von Benutzern/Gruppen verwenden (wie z. B. LDAP), kann das System bei einer Suche nach vielen Benutzern oder Gruppen sehr langsam werden oder sogar ausfallen. Sind mehr Einträge vorhanden, als angefordert wurden, wird eine Nachricht angezeigt. Sie können die Suche verfeinern, bis die erforderliche Liste abgerufen wird.

    Wenn für Ihren Suchbegriff kein Treffer gefunden wird, erscheint eine NULL-Fehlernachricht. Es handelt sich um eine Informationsnachricht, die nicht zwingend auf einen Fehler hinweisen muss, denn das Nichtvorhandensein von Übereinstimmungen mit den von Ihnen ausgewählten Kriterien ist ein gültiger Zustand.

  9. Fügen Sie eine benutzer- oder gruppenbezogene Rollenzuordnung hinzu.

    Fügen Sie eine benutzer- oder gruppenbezogene Rollenzuordnung hinzu, indem Sie auf Suchen klicken. Fügen Sie der Liste der eingehenden anerkannten Realms IdP-Realms hinzu. Für jeden mit Ihrem WAS-Service-Provider verwendeten Identitätsprovider müssen Sie so vorgehen, dass Sie alle vom Identitätsprovider verwendeten Realms als eingehende anerkannte Realms zulassen.

    1. Klicken Sie auf Anerkannte Authentifizierungsrealms - eingehend
    2. Klicken Sie auf Externen Realm hinzufügen.
    3. Geben Sie den Namen des externen Realms an.
    4. Klicken Sie auf OK und speichern Sie Ihre Änderungen in der Masterkonfiguration. Überspringen Sie die übrigen Schritte.
  10. Wählen Sie im Feld Verfügbar die Benutzer und Gruppen aus, die als Member in diese Rollen aufgenommen werden sollen, und klicken Sie auf >>, um sie den Rollen hinzuzufügen.
  11. Wenn Sie vorhandene Benutzer und Gruppen entfernen möchten, wählen Sie sie im Feld Ausgewählt aus und klicken Sie auf <<. Gehen Sie beim Entfernen vorhandener Benutzer und Gruppen aus Rollen mit besonderer Sorgfalt vor, wenn dieselben Rollen als RunAs-Rollen verwendet werden.

    Wenn beispielsweise Benutzer1 der RunAs-Rolle Rolle1 zugeordnet ist und Sie versuchen, Benutzer1 aus dem Rolle1 zu entfernen, löscht die Administrationskonsole den Benutzer nicht. Ein Benutzer kann einer RunAs-Rolle nur dann angehören, wenn der Benutzer bereits direkt oder indirekt über eine Gruppe einer Rolle zugeordnet ist. In diesem Fall gehört Benutzer1 der Rolle1 an. Nähere Informationen zu den Gültigkeitsprüfungen, die bei der Zuordnung von RunAs-Rollen und der Zuordnung von Benutzern und Gruppen zu Rollen durchgeführt werden, finden Sie im Artikel Benutzer RunAs-Rollen zuordnen.

  12. Klicken Sie auf OK. Sollten bei der Gültigkeitsprüfung für die Zuordnung von Rollen und von RunAs-Rollen Fehler festgestellt werden, können die Änderungen nicht festgeschrieben werden. Dieses Problem wird in einer entsprechenden Fehlernachricht angezeigt. Liegt ein Fehler vor, stellen Sie sicher, dass der Benutzer der RunAs-Rolle gleichzeitig Member einer regulären Rolle ist. Wenn die reguläre Rolle eine Gruppe enthält, die den Benutzer in der RunAs-Rolle enthält, müssen Sie diese Gruppe mit der Administrationskonsole der Rolle zuordnen. Führen Sie die Schritte 4 und 5 aus. Verwenden Sie keinen Prozess, in dem nicht der vollständige Name der Gruppe, Hostname, Gruppenname oder definierte Name (DN) verwendet wird.

Ergebnisse

Die Benutzer- und Gruppendaten werden zur Bindungsdatei der Anwendung hinzugefügt. Diese wird später für die die Erteilung von Berechtigungen verwendet.
Anmerkung: Wenn Sie Ihren Realm ändern, müssen Sie diesen Prozess mit dem neuen Realmnamen wiederholen.

Nächste Schritte

Diese Task ist erforderlich, um Benutzer und Gruppen Rollen zuzuordnen, damit sichergestellt ist, dass die richtigen Benutzer und Gruppen auf eine gesicherte Anwendung zugreifen. Falls Sie eine Anwendung installieren, führen Sie die Installation durch. Sobald die Anwendung installiert und aktiv ist, können Sie entsprechend der in dieser Task vorgenommen Zuordnung der Benutzer und Gruppen auf die Ressourcen zugreifen. Wenn Sie Anwendungen verwalten und die Zuordnung von Benutzern und Gruppen zu Rollen ändern, müssen Sie die Anwendung stoppen und erneut starten, damit die Änderungen wirksam werden. Versuchen Sie, in der Anwendung auf die Java EE-Ressourcen zuzugreifen, um zu überprüfen, ob die Änderungen wirksam sind.
Anmerkung: Je nach Konfiguration Ihrer aktiven Benutzerregistry werden die Suchergebnisse für die Zuordnungen der Sicherheitsrollen zu Benutzern und Gruppen in unterschiedlichen Formaten angezeigt. Für ein eingebundenes Repository können LDAP-, dateibasierte und angepasste Registrys verwendet werden. WebSphere Application Server kann Benutzer aus verschiedenen Registrys über die in der Tabelle aufgelisteten Namen eindeutig identifizieren.
[AIX Solaris HP-UX Linux Windows][IBM i]Achtung: Wenn Sie WebSphere Application Server in einer verteilten Umgebung mit den Beispielen installieren, die Sicherheit über eingebundene Repositorys aktivieren und den Server server1 mit den Beispielanwendungen starten, kann der Server Ausnahmen generieren. Der Server wird jedoch erfolgreich gestartet. Der Deployment Manager erstellt beim Erstellen des Deployment-Manager-Profils jedoch keine Benutzer- und Gruppenbeispiele. Zur Behebung der Ausnahmen, die durch Beispiele verursacht werden, die nicht geladen werden können, erstellen Sie eigene Beispielbenutzer und -gruppen. Führen Sie in der Administrationskonsole die folgenden Schritte aus:
  1. Klicken Sie auf Benutzer und Gruppen > Benutzer verwalten.
  2. Erstellen Sie den Benutzer samples und die Gruppe sampadmn. Der Benutzer samples gehört zur Gruppe sampadmn.
Wenn Sie weitere Unterstützung benötigen, rufen Sie den Hilfeartikel "Benutzer verwalten" auf. Klicken Sie dazu im Fenster "Benutzer verwalten" auf Weitere Informationen zu dieser Seite.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tasroles
Dateiname:tsec_tasroles.html