Asignación de usuarios a roles RunAs

Puede aprender a asignar usuarios a los roles RunAs para la aplicación.

Antes de empezar

Realice estas tareas:
  • Proteja las aplicaciones web y las aplicaciones EJB en las que se creen nuevos roles RunAs y se asignen a recursos web y EJB.
  • Cree todos los roles RunAs en la aplicación. El usuario del rol RunAs solamente puede especificarse si este usuario o grupo al que pertenece el usuario forma ya parte del rol habitual.
  • Asigne usuarios y grupos a roles de seguridad. Consulte Asignación de usuarios y grupos a roles para obtener más información.
  • Verifique que se cumplen los requisitos del registro de usuario. Estos requisitos son los mismos que los tratados en el caso de la tareaAsignación de usuarios y grupos a roles. Por ejemplo, si el rol rol1 también se utiliza como rol RunAs, entonces el usuario usuario1 puede añadirse al rol RunAs. La consola administrativa comprueba esta lógica, cuando se pulsa Aplicar o Aceptar. Si la comprobación no es correcta, el cambio no se realiza y se muestra un mensaje de error.

Cuando se asignan un ID de usuario y una contraseña al rol RunAs, la validación se lleva a cabo utilizando el registro de usuarios activo actualmente que se haya configurado. De manera predeterminada, el registro de usuarios del sistema operativo local se establece como el registro de usuarios activo. Por lo tanto, cuando se instala una aplicación y se inhabilita la seguridad en el servidor, el registro de usuarios del sistema operativo local se utiliza para validar el ID de usuario y la contraseña asignada al rol RunAs. Si el registro de usuarios deseado para la aplicación no es el sistema operativo local, la validación fallará. Por lo tanto, correlacione los roles RunAs con usuarios, cuando esté habilitada la seguridad en el servidor. No obstante, si después de habilitar la seguridad el registro de usuarios activo y el registro de usuarios deseado es el mismo, puede asignar al usuario un rol RunAS cuando se inhabilite la seguridad.

Si los sujetos especiales Todos y Todos los usuarios autenticados se asignan a un rol, no se realiza ninguna validación de dicho rol.

La validación se lleva a cabo cada vez que se pulsa Aplicar en este panel o cuando se pulsa Aceptar en el panel Correlacionar roles de seguridad con usuarios y grupos. La comprobación verifica que todos los usuarios de todos los roles RunAs existan directa o indirectamente mediante un grupo en estos roles en el panel Correlacionar roles de seguridad con usuarios y grupos. Si se asigna un rol a un usuario y a un grupo al que pertenece este usuario, se puede suprimir el usuario o el grupo en el panel Correlacionar roles de seguridad con usuarios y grupos.

Si el usuario del rol RunAS pertenece a un grupo y si se ha asignado dicho rol al grupo, debe asegurarse de que dicho rol se haya asignado al grupo mediante la consola administrativa y no mediante la herramienta de ensamblaje ni cualquier otro método. Cuando se utiliza la consola administrativa, se utiliza el nombre completo del grupo (por ejemplo, NombreHost\NombreGrupo en los sistemas Windows y los nombres distinguidos (DN) en LDAP (Lightweight Directory Access Protocol). Durante la comprobación, se obtienen del registro de usuario todos los grupos a los que pertenece el usuario del rol RunAs. Como la lista de grupos que se obtiene del registro de usuario son los nombres completos de los grupos, la comprobación funciona correctamente. Si se especifica el nombre abreviado de un grupo cuando se utiliza una herramienta de ensamblaje, por ejemplo, grupo1 en lugar de CN=grupo1, o=miEmpresa.com, la comprobación da error.

Acerca de esta tarea

Estos pasos son comunes a la instalación de una aplicación y a la modificación de una aplicación existente. Si la aplicación contiene roles RunAs, verá el enlace Correlacionar roles RunAs con usuarios y grupos durante la instalación de la aplicación y también durante la gestión de las aplicaciones como un enlace de la sección Propiedades adicionales.

Procedimiento

  1. Pulse Aplicaciones > Aplicaciones de empresa > nombre_aplicación.
  2. En Propiedades detalladas, pulse Correlación de roles de seguridad con usuarios/grupos. Deberá aparecer una lista de todos los roles Runas que pertenecen a esta aplicación. Si los roles ya tienen asignados usuarios, deberán aparecer aquí.
  3. Para asignar un usuario, seleccione el rol. Puede seleccionar varios roles al mismo tiempo, si se asigna el mismo usuario a todos los roles.
  4. Entre el nombre y la contraseña del usuario en los campos designados. El nombre de usuario especificado puede ser el nombre abreviado preferido, o el nombre completo, como se muestra cuando se obtienen usuarios y grupos del registro de usuario.
  5. Pulse Aplicar. El usuario se autentica utilizando el registro de usuario activo. Si la autenticación es satisfactoria, se comprobará que este usuario o el grupo al que pertenece esté correlacionado con el rol en el panel Correlacionar roles de seguridad con usuarios y grupos. Si la autenticación no se realiza satisfactoriamente, verifique que el usuario y la contraseña son correctos y que la configuración del registro activo es correcta.
  6. Para eliminar un rol RunAs de un usuario, seleccione los roles y pulse Eliminar.

Resultados

El usuario del rol RunAs se añade al archivo de enlace de la aplicación. Este archivo se utiliza para fines de delegación cuando se accede a los recursos Java EE. Este paso es necesario para asignar usuarios a los roles RunAs, de modo que durante la delegación se utilice el usuario correcto para invocar los métodos de EJB.

Qué hacer a continuación

Si está instalando la aplicación, complete el proceso de instalación. Cuando la aplicación ya esté instalada y en ejecución, podrá acceder a los recursos a partir de la correlación de roles RunAs. Guarde la configuración.

Si gestiona aplicaciones y modifica los roles RunAs de usuario, no olvide guardar, detener y reiniciar la aplicación para que los cambios entren en vigor. Intente acceder a los recursos Java EE (Java Platform, Enterprise Edition) para verificar que se hayan aplicado los nuevos cambios.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_taurunas
File name: tsec_taurunas.html