Atribuindo usuários e grupos a funções

É possível designar usuários e grupos a funções se estiver usando autorização do WebSphere Application Server para funções do Java™ Platform, Enterprise Edition (Java EE).

Antes de Iniciar

Evitar Problemas Evitar Problemas: Se você estiver usando a autorização System Authorization Facility (SAF) para funções do Java2 EE (J2EE), consulte System Authorization Facility para Autorização Baseada em Função para obter informações adicionais.gotcha

Antes de executar essa tarefa:

  • Proteja os aplicativos da Web e os aplicativos do Enterprise JavaBeans (EJB) nos quais novas funções foram criadas e para recursos da Web e enterprise bean.
  • Crie todas as funções em seu aplicativo.
  • Verifique se configurou apropriadamente o registro do usuário que contém os usuários que deseja atribuir. É preferível ter a segurança ativada com o registro de usuário de sua opção antes de iniciar esse processo.
  • Certifique-se de que, se você alterar algo na configuração da segurança, a configuração seja salva e o servidor reiniciado antes das alterações serem efetivadas. Por exemplo, ative a segurança ou altere o registro do usuário.

Sobre Esta Tarefa

Essas etapas são comuns para a instalação de um aplicativo e para a modificação de um aplicativo existente. Se o aplicativo contiver funções, você verá o link Mapeamento de Função de Segurança para Usuário/Grupo durante a instalação do aplicativo e também durante o gerenciamento do aplicativo, como um link na seção Propriedades Adicionais.

Procedimento

  1. Acesse o console administrativo.

    [AIX Solaris HP-UX Linux Windows][z/OS]Digite http://localhost:port_number/ibm/console em um navegador da Web.

    [IBM i]Digite http://server_name:port_number/ibm/console em um navegador da Web

  2. Clique em Aplicativos> Tipos de Aplicativos >Aplicativos Corporativos do WebSphere> application_name.
  3. Em Propriedades Detalhadas, clique em Mapeando Função de Segurança para Usuário/Grupo. Uma lista de todas as funções pertencentes a esse aplicativo é exibida. Se as funções já contiverem usuários ou se um dos assuntos especiais AllAuthenticatedUsers, AllAuthenticatedInTrustedRealms ou Todos já estiver designado, eles serão exibidos aqui.
  4. Para designar objetos especiais, selecione a opção Everyone ou All Authenticated in Application's Realm para obter as funções apropriadas.
  5. Para atribuir usuários ou grupos, selecione a função. É possível selecionar várias funções ao mesmo tempo, se os mesmos usuários ou grupos estiverem atribuídos a todas as funções.
  6. Clique em Consultar Usuários ou em Consultar Grupos.
  7. É possível procurar usuários e grupos apropriados no registro de usuários ou você pode incluir um mapeamento da função do usuário/grupo e não executar a procura. Ative qualquer uma dessas opções clicando em Procurar. Consulte as etapas a seguir para a opção apropriada necessária.
  8. Obtenha os usuários e grupos apropriados do registro de usuários Complete os campos de Limite e Sequência de Procura clicando em Procurar. O campo Limite limita o número de usuários obtidos e exibidos a partir do registro do usuário. O padrão é um padrão pesquisável que corresponde a um ou mais usuários e grupos. Por exemplo, user* lista os usuários como user1, user2. Um padrão de asterisco (*) indica todos os usuários ou grupos.

    Utilize o limite a as cadeias de procura cautelosamente de forma a não sobrecarregar o registro do usuário. Ao utilizar grandes registros de usuários, como o LDAP (Lightweight Directory Access Protocol) no qual informações sobre milhares de usuários e grupos residem, a procura por um grande número de usuários ou grupos pode tornar o sistema lento e fazer com que ele falhe. Quando houver mais entradas do que solicitações de entradas, uma mensagem será exibida. É possível aprimorar sua pesquisa até obter a lista desejada.

    Se a cadeia de procura que você está utilizando não tiver correspondências, uma mensagem de erro NULL será exibida. Essa mensagem é informativa e não necessariamente indica um erro, já que é válido não ter entradas que correspondam aos critérios selecionados.

  9. Inclua um mapeamento de função de usuário/grupo

    Inclua um mapeamento de função de usuário/grupo clicando em Procurar. Inclua domínios IdP na lista de domínios confiáveis de entrada. Para cada provedor de identidade usado com o provedor de serviço do WebSphere Application Server, você deverá conceder confiança de entrada para todos os domínios usados pelo provedor de identidade.

    1. Clique em Regiões de Autenticação Confiáveis - Entrada.
    2. Clique em Incluir Região Externa. .
    3. Preencha o nome da região externa.
    4. Clique em OK e Salvar mudanças para a configuração principal. Ignorar as etapas restantes.
  10. Selecione os usuários e grupos a serem incluídos como membros dessas funções no campo Disponível e clique em >> para incluí-los nas funções.
  11. Para remover usuários e grupos existentes, selecione-os no campo Selecionado e clique em <<. Ao remover usuários e grupos existentes das funções, seja cauteloso se as mesmas funções forem utilizadas como funções RunAs.

    Por exemplo, se o usuário user1 for designado à função RunAs role1 e você tentar remover o usuário user1 da função role1, a validação do console administrativo não excluirá o usuário. Um usuário pode ser parte somente de uma função RunAs se ele já estiver em uma função direta ou indiretamente através de um grupo. Nesse caso, o usuário user1 está na função role1. Para obter informações adicionais sobre as verificações de validação executadas entre o mapeamento da função RunAs e o mapeamento de usuários e grupos para funções, consulte Atribuindo Usuários a Funções Executar Como.

  12. Clique em OK. Se existir algum problema de validação entre as designações de função e as designações de função RunAs, as mudanças não serão confirmadas e uma mensagem de erro indicando o problema será exibida. Se existir um problema, certifique-se de que o usuário da função RunAs também seja membro da função regular. Se a função regular contiver um grupo que contém o usuário na função RunAs, certifique-se de que o grupo seja designado para a função utilizando o console administrativo. Siga as etapas 4 e 5. Evite o uso de qualquer processo no qual o nome completo do grupo, nome do host, nome do grupo ou nome distinto (DN) não seja usado.

Resultados

As informações do usuário e do grupo são adicionadas ao arquivo de ligação no aplicativo. Essas informações são utilizadas posteriormente para finalidades de autorização.
Nota: Se alterar a região, você deverá repetir esse processo com o novo nome da região.

O que Fazer Depois

Esta tarefa é requerida para atribuir usuários e grupos a funções, o que permite que os usuários e grupos corretos acessem um aplicativo seguro. Se você estiver instalando um aplicativo, conclua a instalação. Depois do aplicativo ser instalado e estar em execução, é possível acessar os recursos de acordo com o mapeamento de usuários e grupos efetuado nessa tarefa. Se você gerenciar aplicativos e modificar o mapeamento de usuários e grupos para funções, certifique-se de salvar, parar e reiniciar o aplicativo para que as alterações tenham efeito. Tente acessar os recursos do Java EE no aplicativo para verificar se as alterações foram efetivadas.
Nota: Dependendo de como o registro de usuário ativo estiver configurado, os resultados da procura dos mapeamentos de funções de segurança de usuários e grupos serão exibidos em formatos diferentes. Com repositório federado, registros LDAP, customizados e baseados em arquivo podem ser utilizados. O WebSphere Application Server pode identificar exclusivamente usuários de diversos registros pelos nomes de usuário listados na tabela.
[AIX Solaris HP-UX Linux Windows][IBM i]Atenção: Em um ambiente distribuído, se você instalar o WebSphere Application Server com amostras, ativar a segurança utilizando repositórios federados e iniciar o servidor server1 com aplicativos de amostra, o servidor poderá emitir exceções. No entanto, o servidor é iniciado com sucesso. O gerenciador de implementação não criou as amostras de usuário e grupo ao criar o perfil de gerenciador de implementação. Para resolver as exceções causadas pelas falhas de carregamento de amostras, crie seus próprios usuários e grupos de amostra. No console administrativo, faça o seguinte:
  1. Clique em Usuários e Grupos > Gerenciar Usuários.
  2. Crie o usuário samples e o grupo sampadmn. O usuário samples é um membro do grupo sampadmn.
Para obter mais assistência, consulte o tópico de ajuda "Gerenciando usuários", clicando em Mais informações sobre esta página no painel Gerenciar usuários.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tasroles
Nome do arquivo: tsec_tasroles.html