Affectation d'utilisateurs à des rôles d'exécution RunAs
Vous pouvez apprendre à affecter des utilisateurs aux rôles RunAs pour l'application.
Avant de commencer
- Sécurisez les applications Web et les applications d'EJB dans lesquelles des rôles d'exécution (RunAs) sont créés et attribués à des ressources Web et d'EJB.
- Créez tous les rôles d'exécution (RunAs) dans votre application. L'utilisateur du rôle d'exécution (RunAs) ne peut être entré que si cet utilisateur ou le groupe auquel il appartient fait déjà partie du rôle normal.
- Affectez des utilisateurs et des groupes aux rôles de sécurité. Pour plus d'informations, voir Affectation d'utilisateurs et de groupes à des rôles.
- Vérifiez que les conditions requises pour le registre des utilisateurs sont remplies. Ces conditions sont les mêmes que celles abordées dans Affectation d'utilisateurs et de groupes à des rôles. Par exemple, si le rôle role1 est également utilisé en tant que rôle d'exécution (RunAs), l'utilisateur user1 peut être ajouté au rôle d'exécution. La console d'administration contrôle cette logique lorsque vous cliquez sur Appliquer ou OK. Si la vérification échoue, la modification n'est pas effectuée et un message d'erreur est affiché.
Lorsqu'un ID utilisateur et un mot de passe sont assignés à un rôle d'exécution (RunAs), la validation s'effectue au moyen du registre d'utilisateurs actif courant qui est configuré. Le registre d'utilisateurs du système d'exploitation local est le registre actif par défaut. Par conséquent, lorsqu'une application est installée et que la sécurité est désactivée sur le serveur, le registre d'utilisateurs du système d'exploitation local est utilisé pour valider l'ID utilisateur et le mot de passe assignés au rôle d'exécution (RunAs). Si le registre d'utilisateurs prévu pour l'application n'est pas celui du système d'exploitation local, la validation échoue. Par conséquent, il est conseillé de mapper les rôles d'exécution aux utilisateurs une fois la sécurité activée sur le serveur. Cependant, si le registre d'utilisateurs actif et le registre d'utilisateurs prévu, une fois la sécurité activée, sont identiques, vous pouvez affecter l'utilisateur à un rôle d'exécution lorsque la sécurité est désactivée.
Si les sujets spéciaux Tous les utilisateurs ou Tous les utilisateurs authentifiés sont affectés à un rôle, ce rôle n'est pas vérifié.
La vérification est effectuée à chaque fois que vous cliquez sur Valider dans ce panneau ou sur OK dans le panneau Mapper des rôles de sécurité vers des utilisateurs et des groupes. Le contrôle consiste à vérifier que tous les utilisateurs de tous les rôles d'exécution (RunAs) existent directement ou indirectement par l'intermédiaire d'un groupe dans les rôles figurant dans le panneau Mapper des rôles de sécurité vers des utilisateurs et des groupes. Si un rôle est affecté à la fois à un utilisateur et à un groupe auquel appartient cet utilisateur, vous pouvez supprimer l'utilisateur ou le groupe du panneau Mapper des rôles de sécurité vers des utilisateurs et des groupes.
Si l'utilisateur du rôle d'exécution (RunAs) appartient à un groupe et que ce groupe est affecté à ce rôle, vérifiez que l'affectation de ce groupe au rôle s'effectue à l'aide de la console d'administration et non via un outil d'assemblage ou une autre méthode. Lors de l'utilisation de la console d'administration, le nom complet du groupe est utilisé (par exemple, nomhôte\nomgroupe sous Windows et nom distinctif pour le protocole LDAP (Lightweight Directory Access Protocol)). Lors de la vérification, tous les groupes auquel l'utilisateur du rôle RunAs appartient proviennent du registre d'utilisateurs. Etant donné que la liste des groupes provenant du registre d'utilisateurs se compose des noms complets des groupes, la vérification peut aboutir. Si le nom abrégé d'un groupe a été entré à l'aide d'un outil d'assemblage (par exemple, group1 au lieu de CN=group1, o=myCompany.com), la vérification échoue.
Pourquoi et quand exécuter cette tâche
Ces étapes sont communes à l'installation d'une application et à la modification d'une application existante. Si l'application contient des rôles d'exécution, le lien Mapper les rôles RunAs vers les utilisateurs apparaît lors de l'installation de l'application et lors de la gestion des applications sous forme de lien dans la section Propriétés supplémentaires.
Procédure
- Cliquez sur Applications > Applications d'entreprise > nom_application.
- Dans Propriétés du détail, cliquez sur Mappage rôle de sécurité - utilisateur/groupe. La liste de tous les rôles d'exécution appartenant à cette application s'affiche. Les rôles déjà affectés à des utilisateurs apparaissent également dans cette liste.
- Pour affecter un utilisateur, sélectionnez le rôle. Vous pouvez sélectionner plusieurs rôles en même temps si un même utilisateur est affecté à tous les rôles.
- Tapez le nom et le mot de passe de l'utilisateur dans les zones prévues à cet effet. Le nom utilisateur entré peut être le nom abrégé (de préférence) ou le nom complet, tel qu'il apparaît lors de l'extraction des utilisateurs et des groupes à partir du registre d'utilisateurs.
- Cliquez sur Valider. L'utilisateur est authentifié à l'aide du registre d'utilisateurs actif. Si l'authentification aboutit, le système vérifie que cet utilisateur ou groupe est mappé vers le rôle dans le panneau Mapper des rôles de sécurité vers des utilisateurs et des groupes. Si l'authentification échoue, vérifiez que l'utilisateur et le mot de passe, ainsi que la configuration du registre actif, sont corrects.
- Pour supprimer un utilisateur d'un rôle d'exécution (RunAs), sélectionnez les rôles et cliquez sur Supprimer.
Résultats
Que faire ensuite
Si vous gérez des applications et modifiez Rôles d'exécution (RunAs) de l'utilisateur, vérifiez que vous avez sauvegardé, arrêté et relancé l'application afin que les modifications soient prises en compte. Essayez d'accéder à vos ressources Java Platform, Enterprise Edition (Java EE) pour vérifier que les nouvelles modifications sont prises en compte.