ロールへのユーザーおよびグループの割り当て

Java™ Platform, Enterprise Edition (Java EE) ロールに WebSphere® Application Server 許可を使用する場合に、 ユーザーとグループをロールに割り当てることができます。

始める前に

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): Java 2 EE (J2EE) ロールに System Authorization Facility (SAF) 許可を使用する場合、詳しくは ロール・ベースの許可の System Authorization Facilityを参照してください。gotcha

この作業を実行する前に、以下のステップを実行します。

  • 新規ロールが作成済みで、Web リソースおよびエンタープライズ Bean リソースに割り当て済みとなっている、Web アプリケーションおよび Enterprise JavaBeans (EJB) アプリケーションを保護します。
  • アプリケーションですべてのロールを作成します。
  • 割り当てるユーザーを含むユーザー・レジストリーが正しく構成されていることを確認します。 このプロセスを始める前に、選択したユーザー・レジストリーで セキュリティーをオンにしておくことをお勧めします。
  • セキュリティー構成で何らかの変更を行った場合、 変更を有効にするには、構成を保存してサーバーを再始動してください(例えば、 セキュリティーの使用可能化や、ユーザー・レジストリーの変更など)。

このタスクについて

これらのステップは、アプリケーションのインストール、 および既存アプリケーションの変更の両方に共通です。 アプリケーションにロールが含まれている場合、アプリケーションのインストール中、 およびアプリケーションの管理中に、「追加プロパティー」セクションのリンクとして、 「Security role to user/group mapping」リンクが表示されます。

手順

  1. 管理コンソールにアクセスします。

    [AIX Solaris HP-UX Linux Windows][z/OS]Web ブラウザーに http://localhost:port_number/ibm/console と入力します。

    [IBM i]Web ブラウザーに http://server_name:port_number/ibm/console と入力します。

  2. 「アプリケーション」>「アプリケーション・タイプ」>「WebSphere エンタープライズ・アプリケーション」>「application_nameをクリックします。
  3. 「詳細プロパティー」の下の「ユーザー/グループへのセキュリティー・ロールのマッピング」をクリックします。 このアプリケーションに属するすべてのロールのリストが表示されます。既にロールにユーザーが割り当てられているか、または特別な対象である AllAuthenticatedUsers、AllAuthenticatedInTrustedRealms、または Everyone のいずれか 1 つが割り当て済みの場合は、ここに表示されます。
  4. 特別な対象を割り当てるには、該当するロールの「全員」オプションか、 「アプリケーションのレルム内で認証済みすべて」オプションのいずれかを 選択します。
  5. ユーザーまたはグループを割り当てるには、ロールを選択します。 同一のユーザーまたはグループをすべてのロールに割り当てる場合は、 同時に複数のロールを選択することができます。
  6. ユーザーの検索」または「グループの検索」をクリックします。
  7. ユーザー・レジストリーから該当するユーザーとグループを検索するか、ユーザー/グループ・ロール・マッピングを追加することができます。後者の場合、検索を実行する必要はありません。 「検索」をクリックしてこれらのオプションのいずれかをアクティブにします。 ご自身の要望に合ったオプションの次のステップを参照してください。
  8. ユーザー・レジストリーから該当するユーザーとグループを取得します。「制限」および「検索ストリング」の各フィールド に入力し、「検索」をクリックします。 「Limit」フィールドは、ユーザー・レジストリーから取得して表示する ユーザーの数を制限します。パターンは、1 つ以上のユーザーやグループを突き合わせる 検索可能なパターンです。 例えば、user* は、user1、user2 のようなユーザーをリストします。 アスタリスク (*) のパターンはすべてのユーザーまたはグループを表します。

    制限ストリングと検索ストリングは、 慎重に使用して、ユーザー・レジストリーを圧倒しないようにしてください。 何千というユーザーやグループの情報が格納されている大容量ユーザー・レジストリー (Lightweight Directory Access Protocol (LDAP) など) を 使用している場合、多数のユーザーやグループを検索すると、 システムが遅くなったり、障害が発生したりすることがあります。エントリーに対する要求よりも多くのエントリーがある場合は、メッセージが表示されます。 必要なリストを手に入れるまで、検索を詳細化することができます。

    使用している検索ストリングにマッチングがない場合、NULL エラー・メッセージが表示されます。このメッセージは通知目的であり、選択した基準にマッチするエントリーがないことは有効であるため、必ずしもエラーを示すわけではありません。

  9. ユーザー/グループ・ロール・マッピングの追加

    検索」をクリックしてユーザー/グループ・ロール・マッピングを追加します。インバウンド・トラステッド・レルムのリストに IdP レルムを追加します。WebSphere Application Server サービス・プロバイダーで使用する ID プロバイダーごとに、ID プロバイダーで使用するすべてのレルムに対するインバウンド・トラストを付与する必要があります。

    1. 「トラステッド認証レルム - インバウンド」をクリックします。
    2. 「外部レルムの追加」をクリックします。
    3. 外部レルム名を入力します。
    4. 「OK」をクリックし、マスター構成への変更内容を保存します。 残りのステップをスキップします。
  10. 使用可能」フィールドから、これらのロールのメンバーとして 組み込むユーザーとグループを選択し、「>>」をクリックしてそれらをロールに 追加します。
  11. 既存のユーザーやグループを除去するには、「選択」フィールドからそれらを選択し、 「<<」をクリックします。 ロールから既存のユーザーやグループを除去する際に、 それらのロールが RunAs ロールとして使用されていないか注意してください。

    例えば、ユーザー user1 が、role1 RunAs ロールに割り当てられ、ユーザー user1 を role1 ロールから除去しようとする場合、管理コンソールの妥当性検査によってユーザーが削除されることはありません。ユーザーが、グループを介して既にロール内に直接または間接的に存在する場合、ユーザーはロール RunAs の一部としてのみ存在することができます。この場合、ユーザー user1 は、ロール role1 内に存在します。 RunAs ロール・マッピングと、ロールへのユーザーおよびグループのマッピングとの 間で実行される妥当性検査について詳しくは、RunAs ロールへのユーザーの割り当てを参照してください。

  12. OK」をクリックします。 ロール割り当てと RunAs ロール割り当てとの間に妥当性に関する何らかの問題がある場合は、 変更が確定されず、問題を示すエラー・メッセージが表示されます。 問題がある場合は、RunAs ロール内のユーザーが通常のロールのメンバーになっていないか 確認してください。RunAs ロール内のユーザーを含んでいるグループが 通常のロールに含まれている場合は、管理コンソールを使用して、そのグループをロールに 割り当ててください。ステップ 4 および 5 を実行します。 グループの完全な名前、ホスト名、グループ名、または識別名 (DN) が指定されていない プロセスは使用しないでください。

タスクの結果

ユーザーおよびグループの情報は、 アプリケーション内のバインディング・ファイルに追加されます。 この情報は、後で認証のために使用されます。
注: レルムを変更する場合は、新しいレルム名を使用してこのプロセスを繰り返す必要があります。

次のタスク

このタスクはユーザーおよびグループをロールに割り当てるために必要です。 これにより正しいユーザーおよびグループが保護されたアプリケーションにアクセスできるようになります。アプリケーションをインストールする場合は、インストールを完了してください。アプリケーションをインストールし、稼働させると、 この作業で実行したユーザーとグループのマッピングに従って、 リソースへアクセスすることができます。アプリケーションを管理しているときに、 ユーザーとグループをロールに割り当てるマッピングを変更した場合は、 変更を有効にするために、アプリケーションを保存、停止してから始動してください。変更が有効になっていることを確認するために、アプリケーション内の Java EE リソースにアクセスしてみてください。
注: セキュリティー・ユーザー・ロール・マッピングまたは セキュリティー・グループ・ロール・マッピングの検索結果は、アクティブ・ユーザー・レジストリーの構成方法に応じて、 それぞれ異なる形式で表示されます。統合リポジトリーでは、LDAP、ファイル・ベース、 カスタムの各レジストリーが使用できます。WebSphere Application Server は、 各種レジストリーのユーザーを、テーブルにリストされているユーザー名によって一意的に識別できます。
[AIX Solaris HP-UX Linux Windows][IBM i]重要: 分散環境では、サンプル付きの WebSphere Application Server をインストールし、 統合リポジトリーを使用してセキュリティーを使用可能にし、サンプル・アプリケーションで server1 サーバーを始動すると、サーバーで例外が発生する場合があります。 ただし、サーバーは正常に始動します。 デプロイメント・マネージャーは、デプロイメント・マネージャーのプロファイルを作成したときに、 ユーザー・サンプルおよびグループ・サンプルを作成しませんでした。 ロードを失敗させるサンプルに原因がある例外を解決するには、独自のサンプル・ユーザーおよびサンプル・グループを作成します。管理コンソールで以下を実行します。
  1. ユーザーおよびグループ」>「Manage Users」をクリックします。
  2. samples ユーザーと sampadmn グループを作成します。 samples ユーザーは、sampadmn グループのメンバーです。
詳しくは、「ユーザーの管理 (Manage Users)」ペインの「このページについての詳細情報」をクリックして「ユーザーの管理 (Managing users)」ヘルプ・トピックを参照してください。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tasroles
ファイル名:tsec_tasroles.html