Asignación de usuarios y grupos a roles

Puede asignar usuarios y grupos a roles si utiliza la autorización de WebSphere Application Server para roles de Java™ Platform, Enterprise Edition (Java EE).

Antes de empezar

Avoid trouble Avoid trouble: Si utiliza la autorización SAF (System Authorization Facility) para los roles J2EE (Java2 EE), consulte System Authorization Facility para autorización basada en roles para obtener más información.gotcha

Antes de realizar esta tarea:

  • Proteja las aplicaciones web y las aplicaciones EJB (Enterprise JavaBeans) en las que se crean nuevos roles y se asignan a recursos web y de enterprise bean.
  • Cree todos los roles en la aplicación.
  • Verifique que ha configurado correctamente el registro de usuario que contiene los usuarios que desea asignar. Antes de empezar este proceso, es preferible tener la seguridad activada con el registro de usuario que desee.
  • Si ha modificado algún valor en la configuración de seguridad, asegúrese de que ha guardado la configuración y ha reiniciado el servidor para que los cambios entren en vigor. Por ejemplo, habilite la seguridad o modifique el registro de usuario.

Acerca de esta tarea

Estos pasos son comunes tanto en la instalación de una aplicación y en la modificación de una aplicación existente. Si la aplicación contiene roles, verá el enlace Correlación de roles de seguridad con usuarios/grupos durante la instalación de la aplicación y también durante la gestión de las aplicaciones, como un enlace de la sección Propiedades adicionales en la parte inferior.

Procedimiento

  1. Acceda a la consola administrativa.

    [AIX Solaris HP-UX Linux Windows][z/OS]Escriba http://localhost:número_puerto/ibm/console en el navegador web.

    [IBM i]Escriba http://nombre_servidor:número_puerto/ibm/console en el navegador web.

  2. Pulse Aplicaciones > Tipos de aplicaciones > Aplicaciones de empresa WebSphere > nombre_aplicación .
  3. En Propiedades detalladas, pulse Correlación de roles de seguridad con usuarios/grupos. Aparecerá una lista de todos los roles que pertenecen a esta aplicación. Si los roles ya tienen asignados usuarios, o si uno de los sujetos especiales, AllAuthenticatedUsers, AllAuthenticatedInTrustedRealms o Everyone, deberán aparecer aquí.
  4. Para asignar los sujetos especiales, seleccione la opción Todos o Todos los autenticados en el reino de la aplicación para los roles adecuados.
  5. Para asignar usuarios o grupos, seleccione el rol. Puede seleccionar varios roles al mismo tiempo, si se asignan los mismos usuarios o grupos a todos los roles.
  6. Pulse Buscar usuarios o Buscar grupos.
  7. Puede buscar usuarios y grupos adecuados del registro de usuarios o puede añadir una correlación de rol de usuario/grupo y no realizar la búsqueda. Puede activar una de estas opciones pulsando Buscar. Consulte los pasos siguientes para la opción adecuada que necesita.
  8. Obtenga los usuarios y grupos adecuados del registro de usuarios Complete los campos de serie Límite y Buscar pulsando Buscar. El campo Límite limitará el número de usuarios que se obtienen y visualizan del registro de usuario. El patrón es un patrón de búsqueda que coincide con uno o varios usuarios y grupos. Por ejemplo, user* mostrará los usuarios como user1, user2. Si se utiliza un patrón con asterisco (*) se mostrarán todos los usuarios o grupos.

    Utilice con cuidado las series de búsqueda y límite para no desbordar el registro de usuario. Cuando se utilizan registros de usuario grandes como, por ejemplo, LDAP (Lightweight Directory Access Protocol) en los que hay información sobre miles de usuarios y grupos, y si se efectúa una búsqueda para una gran cantidad de usuarios y grupos, el sistema puede funcionar lentamente e incluso sufrir una anomalía. Cuando hay más entradas que solicitudes de entradas, se muestra un mensaje. Puede volver a definir la búsqueda hasta obtener la lista requerida.

    Si la cadena de búsqueda que utiliza no tiene coincidencias, aparecerá un mensaje de error NULL. Este mensaje es informativo y no necesariamente indica un error, porque es válido no tener entradas que coincidan con sus criterios seleccionados.

  9. Añada una correlación de rol de usuario/grupo

    Añada una correlación de rol de usuario/grupo pulsando Buscar. Añada reinos de IdP a la lista de reinos de confianza de entrada. Para cada proveedor de identidades que se utiliza con el proveedor de servicios de WebSphere Application Server, debe otorgar confianza de entrada a todos los reinos que utilizan el proveedor de identidades.

    1. Pulse Dominios de autenticación fiables - entrada.
    2. Pulse Añadir reino externo.
    3. Rellene el nombre de reino externo.
    4. Pulse Aceptar y Guardar los cambios en la configuración maestra. Omita los pasos restantes.
  10. Seleccione los usuarios y grupos que se han de incluir como miembros de estos roles en el campo Disponible y pulse >> para añadirlos a los roles.
  11. Para eliminar usuarios y grupos existentes, selecciónelos en el campo Seleccionado y pulse <<. Cuando suprima usuarios y grupos existentes de los roles debe prestar atención si estos mismos roles se utilizan como roles RunAs.

    Por ejemplo, si el usuario user1 se asigna al rol RunAs role1 y se intenta eliminar el usuario user1 del rol role1, la función de validación de la consola administrativa no elimina el usuario. Un usuario sólo puede formar parte de un rol RunAs si el usuario ya está en un rol directa o indirectamente a través de un grupo. En este caso, el usuario user1 está en el rol role1. Para más información sobre las comprobaciones de validación que se llevan a cabo entre la correlación de roles RunAS y la correlación de usuarios y grupos con roles, consulte Asignación de usuarios a roles RunAs.

  12. Pulse Aceptar. Si hay algún problema de validación entre las asignaciones de roles y las asignaciones de roles RunAs, los cambios no se comprometen y se muestra un mensaje de error que indica el problema. En el caso de que haya un problema, asegúrese de que el usuario del rol RunAs también es miembro del rol normal. Si el rol normal contiene un grupo que contiene el usuario del rol RunAs, asegúrese de que el grupo se asigne al rol con la consola de administración. Siga los pasos 4 y 5. Evite utilizar cualquier proceso donde no se utilice el nombre completo del grupo, el nombre de host, el nombre de grupo o el nombre distinguido (DN).

Resultados

La información de usuarios y grupos se añade al archivo de enlace de la aplicación. Dicho archivo se utilizará más adelante para realizar autorizaciones.
Nota: Si cambia su reino debe repetir este proceso con el nombre de reino nuevo.

Qué hacer a continuación

Esta tarea es necesaria para asignar usuarios y grupos a roles, que permite a los usuarios y grupos correctos acceder a aplicaciones protegidas. Si está instalando una aplicación, complete el proceso de instalación. Cuando la aplicación ya esté instalada y en ejecución, podrá acceder a los recursos según la correlación de usuarios y grupos que ha realizado en esta tarea. Si gestiona aplicaciones y modifica la correlación de usuarios y grupos con roles, guarde, detenga y reinicie la aplicación para que los cambios entren en vigor. Intente acceder a los recursos Java EE de la aplicación para comprobar que los cambios se hayan aplicado.
Nota: Dependiendo de cómo esté configurado el registro de usuarios activo, los resultados de la búsqueda de correlaciones de roles de usuarios o grupos de seguridad aparecen con formatos diferentes. Con el repositorio federado, LDAP, pueden utilizarse registros personalizados y basados en archivos. WebSphere Application Server puede identificar de forma exclusiva usuarios de varios registros por los nombres de usuario que aparecen en la tabla.
[AIX Solaris HP-UX Linux Windows][IBM i]Atención: En un entorno distribuido, si instala WebSphere Application Server con ejemplos, habilita la seguridad utilizando repositorios federados e inicia el servidor server1 con las aplicaciones de ejemplo, es posible que el servidor cree excepciones. No obstante, el servidor se inicia correctamente. El gestor de despliegue no ha creado los ejemplos de usuarios y grupos cuando ha creado el perfil del gestor de despliegue. Para resolver las excepciones que se producen cuando los ejemplos no se pueden cargar, cree sus propios usuarios y grupos de ejemplo. En la consola administrativa, efectúe lo siguiente:
  1. Pulse Usuarios y grupos > Gestionar usuarios.
  2. Cree el usuario samples y el grupo sampadmn. El usuario samples es miembro del grupo sampadmn.
Para obtener más ayuda, consulte el tema de ayuda "Gestionar usuarios" pulsando Más información sobre esta página en el panel Gestionar usuarios.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tasroles
File name: tsec_tasroles.html