Présentation de la sécurité du planificateur de travaux
Les opérations qu'un utilisateur peut effectuer sur un travail dépendent du modèle de sécurité qui est appliqué. Les opérations d'un utilisateur sur un travail peuvent être basées sur les rôles, sur les groupes ou sur les deux à la fois.
Sécurité basée sur les rôles
Lorsque la sécurité basée sur les rôles est activée, vous devez être associé au rôle lrsubmitter, lradmin ou lrmonitor. Les utilisateurs associés au rôle lradmin sont habilités à exécuter toutes les opérations de l'application de planificateur de travaux sur tous les travaux, quel s'en soit le propriétaire. Les utilisateurs auxquels le rôle lrsubmitter est attribué peuvent afficher et agir uniquement sur les travaux dont l'émetteur est propriétaire. Les utilisateurs auxquels le rôle lrmonitor est attribué peuvent uniquement afficher les travaux et journaux de travaux de tous les utilisateurs.
Sécurité basée sur les groupes
Dans le modèle de sécurité de groupe, toutes les décisions de sécurité liées aux travaux reposent uniquement sur l'affiliation par groupe. L'administrateur n'attribue pas de rôle de travail à des utilisateurs spécifiques. Un utilisateur peut effectuer une action pour un travail uniquement si l'utilisateur et le travail font partie du même groupe. Par exemple, si deux utilisateurs font partie du même groupe et qu'ils soumettent chacun un travail attribué à ce même groupe, les deux utilisateurs peuvent consulter les deux travaux et effectuer des actions sur ce dernier.
Etant donné que WebSphere Application Server applique la vérification de rôle sur les opérations du planificateur de travaux, vous devez effectuer une seule affectation du rôle lradmin aux utilisateurs du groupe All Authenticated in Application's Realm. Les utilisateurs du groupe possèdent les mêmes privilèges que ceux octroyés par le rôle lradmin et peuvent effectuer les mêmes opérations sur un travail dans le groupe que celles autorisées par le rôle lradmin.
Utilisateur et appartenance au groupe
La fonction de sécurité de groupe nécessite une implémentation de l'interface SPI d'appartenance à un groupe ou un référentiel d'utilisateurs qui prend en charge l'appartenance à un groupe, tels que LDAP (Lightweight Directory Access Protocol), et elle est configurée comme un référentiel fédéré.
Vous pouvez utiliser l'interface SPI de filtrage d'appartenance au groupe pour étendre le référentiel fédéré.
Si vous utilisez un référentiel, vous devez le configurer comme un référentiel fédéré, même si la configuration de WebSphere Application Server utilise un seul référentiel. La fonction de référentiels fédérés prend en charge plusieurs technologies de référentiel, y compris le système d'exploitation local, LDAP et Active Directory.
En outre, la fonction de référentiels fédérés prend en charge la fonction SAF (System Authorization Facility).
Lorsque vous utilisez un référentiel, vous devez définir tous les utilisateurs et groupes WebSphere Application Server via les fonctions de gestion de la technologie de référentiel configurée.
Sécurité de rôle et de groupe
Dans le modèle de sécurité de rôle et de groupe, la sécurité d'affiliation par groupe et basée sur les rôles régit les décisions de sécurité liées aux travaux. Cela signifie qu'un utilisateur peut effectuer une action sur un travail uniquement si l'utilisateur et le travail sont membres du même groupe, et que le rôle de l'utilisateur autorise cette action sur le travail.
Par exemple, si deux utilisateurs sont membres du même groupe et que chacun soumet un travail qui est affecté à ce même groupe, ils peuvent tous les deux afficher l'un ou l'autre des deux travaux et agir dessus, en fonction du rôle qui leur a été attribué. Si le premier utilisateur a le rôle lradmin, il peut afficher et agir sur les deux travaux. Si le second utilisateur a le rôle lrsubmitter, il peut afficher et agir uniquement sur le travail qu'il a soumis. Si le second utilisateur a le rôle lrmonitor, il n'est pas autorisé à soumettre un travail, mais il peut afficher les travaux soumis par le premier utilisateur.