Affectation d'utilisateurs et de groupes à des rôles

Vous pouvez attribuer des utilisateurs et des groupes à des rôles si vous utilisez le mécanisme d'autorisation WebSphere Application Server pour les rôles Java™ Platform, Enterprise Edition (Java EE).

Avant de commencer

Eviter les incidents Eviter les incidents: Si vous utilisez le mécanisme d'autorisation SAF (System Authorization Facility (SAF) pour les rôles J2EE (Java2 EE), voir Mécanisme d'autorisation SAF (System Authorization Facility) fondé sur les rôles pour plus d'informations.gotcha

Avant de commencer :

  • Sécurisez les applications Web et les applications d'EJB (Enterprise JavaBeans) dans lesquelles des rôles sont créés et attribués à des ressources Web et d'EJB.
  • Créez tous les rôles dans votre application.
  • Vérifiez que vous avez configuré correctement le registre d'utilisateurs qui contient les utilisateurs que vous voulez affecter à des rôles. Il est conseillé d'activer la sécurité avec le registre d'utilisateurs de votre choix avant de commencer.
  • Si vous avez modifié la configuration de la sécurité, sauvegardez la configuration, puis redémarrez le serveur pour que les modifications soient appliquées. Vous avez par exemple activé la sécurité ou modifié le registre d'utilisateurs.

Pourquoi et quand exécuter cette tâche

Cette procédure est commune à l'installation et à la modification d'une application. Si l'application contient des rôles, le lien Mappage des rôles de sécurité vers les utilisateurs/groupes apparaît lors de l'installation et de la gestion de l'application dans la section Propriétés supplémentaires.

Procédure

  1. Accédez la console d'administration.

    [AIX Solaris HP-UX Linux Windows][z/OS]Entrez http://localhost:numéro_port/ibm/console dans un navigateur Web.

    [IBM i]Entrez http://nom_serveur:numéro_port/ibm/console dans un navigateur Web.

  2. Cliquez sur Applications> Types d'application >Applications WebSphere enterprise> nom_application.
  3. Sous Propriétés du détail, cliquez sur Mappage rôle de sécurité - utilisateur/groupe. La liste de tous les rôles d'exécution appartenant à cette application s'affiche. Si des rôles sont déjà affectés à des utilisateurs, ou qu'un des sujets spéciaux, comme Tous les utilisateurs authentifiés, Tous authentifiés dans le domaine de confiance ou Tous les utilisateurs, est affecté, ils apparaissent dans cette liste.
  4. Pour affecter des sujets spéciaux, cochez la case Tous les utilisateurs ou Tous authentifiés dans le domaine de l'application pour les rôles concernés.
  5. Pour affecter des utilisateurs ou des groupes, sélectionnez le rôle. Vous pouvez sélectionner plusieurs rôles en même temps si les mêmes utilisateurs ou groupes sont affectés à tous les rôles.
  6. Cliquez sur Rechercher les utilisateurs ou Rechercher les groupes.
  7. Vous pouvez rechercher les utilisateurs et les groupes appropriés dans le registre des utilisateurs ou ajouter un mappage des rôles d'utilisateur/de groupe et ne pas effectuer la recherche. Activez l'une ou l'autre de ces options en cliquant sur Rechercher. Pour déterminer l'option dont vous avez besoin, reportez-vous aux étapes suivantes.
  8. Recherchez les utilisateurs et les groupes appropriés dans le registre d'utilisateurs Renseignez les zones Limite et Chaîne recherchée en cliquant sur Rechercher. La zone Limite restreint le nombre d'utilisateurs extraits et affichés à partir du registre d'utilisateurs. Le masque permet de rechercher les occurrences correspondant à un ou plusieurs utilisateurs ou groupes. Par exemple, user* répertorie les utilisateurs user1, user2. Le caractère astérisque (*) désigne tous les utilisateurs/groupes.

    Utilisez la limite et les chaînes à rechercher avec précaution pour ne pas surcharger le registre d'utilisateurs. Si vous utilisez des registres d'utilisateurs volumineux, tels que LDAP (Lightweight Directory Access Protocol), contenant des informations sur des milliers d'utilisateurs et de groupes, une recherche générique peut ralentir le système au point de le mettre en échec. Lorsqu'il existe plus d'entrées que le nombre demandé, un message s'affiche. Vous pouvez affiner la recherche (limite et masque) jusqu'à obtention de la liste demandée.

    Si la chaîne de recherche que vous utilisez ne résulte sur aucune correspondance, un message d'erreur NULL s'affiche. Ce message est à titre d'informations et n'indique pas nécessairement une erreur, car il est valide pour ne posséder aucune entrée correspondant aux critères que vous avez sélectionnés.

  9. Ajoutez un mappage des rôles d'utilisateur/de groupe

    Ajoutez un mappage des rôles d'utilisateur/de groupe en cliquant sur Rechercher. Ajoutez des domaines IdP à la liste des domaines accrédités entrants. Pour chaque fournisseur d'identité utilisé avec votre fournisseur de services WebSphere Application Server, vous devez accorder une sécurité entrante à tous les domaines utilisés par le fournisseur d'identité.

    1. Cliquez sur Domaine d'authentification sécurisé - entrant.
    2. Cliquez sur Ajouter un domaine externe.
    3. Renseignez le nom de domaine externe.
    4. Cliquez sur OK et sauvegardez mes changements apportés à la configuration principale. Ignorez les étapes restantes.
  10. Sélectionnez les utilisateurs et les groupes à inclure en tant que membres de ces rôles dans la zone Disponible et cliquez sur >> pour les ajouter aux rôles.
  11. Pour supprimer des utilisateurs et des groupes, sélectionnez-les dans la zone Sélectionné et cliquez sur <<. Lorsque vous supprimez les utilisateurs et les groupes des rôles, soyez prudent si ces rôles sont utilisés comme rôles d'exécution.

    Par exemple, si l'utilisateur user1 reçoit le rôle d'exécution role1 et que vous essayez de supprimer l'utilisateur user1 du rôle role1, la validation de la console d'administration ne supprime pas l'utilisateur. Un utilisateur ne peut appartenir à un rôle d'exécution que s'il appartient déjà à un rôle directement ou indirectement via un groupe. Dans ce cas, l'utilisateur user1 appartient au rôle role1. Pour plus d'informations sur les contrôles de validation effectués entre les mappages de rôles RunAs et ceux d'utilisateurs/groupes à des rôles, voir Affectation d'utilisateurs à des rôles d'exécution RunAs.

  12. Cliquez sur OK. En cas d'incident de validation entre les affectations de rôle et ceux de rôle RunAs, les changements ne sont pas validés et un message d'erreur signale l'incident. Dans ce cas, assurez-vous que l'utilisateur du rôle RunAs est également membre d'un rôle standard. Si le rôle standard inclut un groupe contenant l'utilisateur du rôle d'exécution, vérifiez que ce groupe est affecté au rôle à l'aide de la console d'administration. Suivez les étapes 4 et 5. Evitez d'utiliser des processus où le nom complet du groupe, le nom d'hôte, le nom du groupe ou le nom distinctif (DN) n'est pas indiqué.

Résultats

Des informations sur les utilisateurs et les groupes sont ajoutées au fichier de liaison. Ces informations sont utilisées ultérieurement pour la procédure d'autorisation.
Remarque : Si vous changez de domaine, relancer la procédure avec le nouveau nom de domaine.

Que faire ensuite

Cette tâche est requise pour affecter des utilisateurs et des groupes à des rôles, ce qui permet aux utilisateurs et aux groupes corrects d'accéder à une application sécurisée. Si vous installez une application, terminez l'opération. Vous devez ensuite pouvoir accéder aux ressources selon le mappage réalisé. Si vous gérez des applications et modifiez le mappage des rôles vers les utilisateurs et les groupes, vérifiez que vous avez sauvegardé, arrêté et relancé l'application afin que les modifications soient prises en compte. Essayez d'accéder aux ressources Java EE dans l'application pour vérifier que les modifications sont effectives.
Remarque : En fonction du mode de configuration du registre d'utilisateurs actif, les résultats de recherche des mappages de rôle de groupe ou d'utilisateur de sécurité sont affichés à différents formats. Avec le référentiel fédéré, les registres personnalisés, de fichiers et LDAP peuvent être utilisés. WebSphere Application Server peut uniquement identifier les utilisateurs de différents registres à l'aide des noms d'utilisateurs répertoriés dans le tableau.
[AIX Solaris HP-UX Linux Windows][IBM i]Avertissement : Dans un environnement distribué, lorsque vous installez WebSphere Application Server avec des modèles, activez la sécurité à l'aide des référentiels fédérés et démarrez le serveur server1 avec les modèles d'applications ; le serveur peut générer des exceptions. Cependant, le serveur démarre avec succès. Le gestionnaire de déploiement n'a pas créé les exemples d'utilisateur et de groupe lors de la création du profil du gestionnaire de déploiement. Pour résoudre les exceptions causées par l'échec de chargement des exemples, créez vos propres exemples d'utilisateurs et de groupes. Dans la console d'administration, procédez comme suit :
  1. Cliquez sur Utilisateurs et groupes > Gérer les utilisateurs.
  2. Créez l'utilisateur exemple et le groupe sampadmn. L'utilisateur exemple est un membre du groupe sampadmn.
Pour plus de détails, voir la rubrique "Gestion des utilisateurs" de l'aide en cliquant sur Plus d'informations sur cette page dans le panneau Gestion des utilisateurs.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tasroles
Nom du fichier : tsec_tasroles.html