部署受保护的应用程序
部署具有安全性约束的应用程序(受保护的应用程序)与部署不包含任何安全性约束的应用程序没有太大的区别。唯一的差异是您可能需要给用户和组指定受保护应用程序的角色。受保护应用程序要求您具有正确的活动用户注册表。
开始之前
要部署新的受保护的应用程序,单击应用程序 > 安装新的应用程序,并遵循提示完成安装步骤。部署受保护应用程序的所需步骤之一是给用户和组指定应用程序中定义的角色。
- 如果您要安装受保护应用程序,那么将在该应用程序中定义角色。
- 如果应用程序需要委派,那么您还将定义 RunAs 角色。
在安装新的应用程序期间,角色定义将作为“将安全角色映射到用户和组”步骤的一部分完成。如果已使用组装工具完成此指定,那么您仍然可通过遵循此安装步骤确认该映射。可在此步骤期间添加新用户和组,并修改现有信息。
如果应用程序支持委派,那么应用程序中已定义 RunAs 角色。如果组装期间委派策略设为指定的标识,那么中间件使用部署期间设置的标识调用方法。使用 RunAs 角色指定进行下游调用的标识。 例如,如果给用户 bob 指定了 RunAs 角色,并且客户机 alice 正在调用 Servlet,并设置了调用企业 Bean 的委派,那么将使用 bob 作为标识调用企业 Bean 上的方法。
作为新应用程序安装和部署过程的一部分,这些步骤之一是修改用户或将用户映射到 RunAs 角色。当委派策略设为指定的标识时,请使用此步骤给新用户指定 RunAs 角色或修改现有用户。
要点: 如果 Tivoli® Access Manager (TAM) 处于已启用状态,那么部署及取消部署应用程序可能需要很长一段时间才能完成,甚至会超时。禁用 ATCCache 可能会解决此问题。在部署及取消部署应用程序期间,ATCCache 的存在有助于改善性能。对于某些应用程序,特别是那些具有许多模块的应用程序,高速缓存实际上会对这些方面的性能造成负面影响。要禁用 ATCCache,请浏览到 config/cells/cell_name 目录,并修改 amwas.amjacc.template.properties 文件以设置 com.tivoli.pd.as.atcc.ATCCache.enabled=false。因为已配置嵌入式 TAM,所以请使用该属性来更新配置文件。对于单元中的每个实例,请切换到
profiles/<profile_name>/etc/tam 目录,然后修改任何以 amjacc.properties 结尾的文件,以设置 com.tivoli.pd.as.atcc.ATCCache.enabled=false。必须重新启动单元,才能使这些更改生效。
关于此任务
要安装并部署应用程序,请完成以下步骤。
过程
- 单击应用程序 > 安装新的应用程序。完成所需的步骤,直到看到将安全角色映射到用户和组的步骤为止。
如果应用程序包含角色,请给用户和组指定角色。 在安装期间的此步骤时,在“其他属性”下,单击将安全角色映射到用户和组。有关更多信息,请参阅为用户和组指定角色。
- 如果应用程序中存在 RunAs 角色,请给用户指定 RunAs 角色。 在安装期间的此步骤时,在“其他属性”下,单击将 RunAs 角色映射到用户。有关更多信息,请参阅给用户指定 RunAs 角色。
- 可选: 单击改正系统标识的使用,以指定 RunAs 角色(如果需要)。如果应用程序已设置委派以使用系统标识(这仅适用于企业 Bean),那么完成此操作。 系统标识使用 WebSphere Application Server 安全性服务器标识来调用下游方法。不推荐使用系统标识,因为此标识在访问 WebSphere Application Server 内部方法方面具有比其他标识更多的特权。提供本任务,以确保部署者了解面板中列出的方法具有为委派设置的系统标识,并在需要时改正这些标识。当使用 internalServerId 功能时,不支持具有系统标识的 runAs;您必须在此处指定 RunAs 角色。
- 完成剩余的与安全性不相关的步骤,以完成应用程序的安装和部署。