为用户和组指定角色

如果您对 Java™ Platform, Enterprise Edition (Java EE) 角色使用 WebSphere® Application Server 授权,那么可以为用户和组指定角色。

开始之前

避免故障 避免故障: 如果正在对 Java2 EE (J2EE) 角色使用系统授权工具 (SAF) 授权,那么请参阅将系统授权工具用于基于角色的授权以了解更多信息。gotcha

执行此任务前:

  • 保护在其中创建了新角色并将新角色指定给 Web 和企业 Bean 资源的 Web 应用程序和 Enterprise JavaBeans (EJB) 应用程序。
  • 在应用程序中创建所有角色。
  • 验证已正确配置了包含所要指定的用户的用户注册表。在开始执行此过程前,最好使用选择的用户注册表来启用安全性。
  • 如果在安全性配置中更改了任何内容(例如,启用安全性或更改用户注册表),请确保保存配置并重新启动服务器以使更改生效。

关于此任务

在安装应用程序和修改现有应用程序时都需要执行这些步骤。如果应用程序包含角色,您在安装应用程序期间就会看到“安全角色到用户/组的映射”链接,并且,在管理应用程序期间,在“其他属性”部分中也会有此链接。

过程

  1. 访问管理控制台。

    [AIX Solaris HP-UX Linux Windows][z/OS]在 Web 浏览器中输入 http://localhost:port_number/ibm/console

    [IBM i]在 Web 浏览器中输入 http://server_name:port_number/ibm/console

  2. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
  3. 在“详细信息”属性下,单击安全角色到用户/组映射 这将显示所有属于此应用程序的角色列表。如果已对角色指定了用户,或者指定了特殊主体集的其中一个(AllAuthenticatedUsers、AllAuthenticatedInTrustedRealms 或 Everyone),那么他们将显示在这里。
  4. 要指定特殊主体集,请对适当的角色选中每个人应用程序领域中的所有已认证用户选项。
  5. 要指定用户或组,请选择角色。 如果已给相同的用户或组指定了多个角色,那么可以同时选择全部那些角色。
  6. 单击查找用户查找组
  7. 您可以从用户注册表搜索相应用户和组,或者您可以不执行该搜索而是添加用户/组角色映射。您通过单击搜索来激活其中某个选项。 请参阅后续步骤以了解所需的适当选项。
  8. 单击搜索来填写“限制”和“搜索字符串”字段从用户注册表中获取适当的用户和组 “限制”字段限制从用户注册表获取并显示的用户数。模式是与一个或多个用户和组匹配的可搜索模式。例如,user* 将列示诸如 user1 和 user2 之类的用户。星号 (*) 模式指示所有用户或组。

    请谨慎地使用限制和搜索字符串,以免用户注册表负荷过重。当使用包含数千用户和组信息的大型用户注册表(例如轻量级目录访问协议 (LDAP) 用户注册表)时,搜索大量用户或组会导致系统变得很慢,并且可能会使系统发生故障。当存在多于所请求的条目时,会显示消息。您可以优化搜索,直到获得所需的列表为止。

    如果您使用的搜索字符串没有匹配项,那么将显示 NULL 错误消息。此消息是参考消息,不一定指示错误,这是因为不存在与所选条件相匹配的项这一情况是有效的。

  9. 添加用户/组角色映射

    通过单击搜索来添加用户/组角色映射。将 IdP 领域添加到入站可信领域列表。针对与 WebSphere Application Server 服务提供程序配合使用的每一个身份提供程序,必须向该身份提供程序使用的所有领域授予入站信任。

    1. 单击可信认证域 - 入站
    2. 单击添加外部域
    3. 填写外部领域名。
    4. 单击确定,然后单击保存对主配置所作的更改 跳过其余步骤。
  10. 可用的字段中选择要作为这些角色成员的用户和组,然后单击 >> 将它们添加到角色中。
  11. 要移除现有用户和组,请从选定字段中选择他们,然后单击 << 在从角色中移除现有用户和组时,如果那些角色还被用作 RunAs 角色,那么务必小心谨慎。

    例如,如果已给用户 user1 指定了 role1 RunAs 角色,并且尝试从 role1 角色中除去 user1 用户,那么管理控制台验证操作不会删除该用户。仅当一个用户已直接包含在某个角色中或者通过组间接地包含在该角色中时,该用户才能包含在 RunAs 角色中。在本例中,用户 user1 包含在角色 role1 中。要了解有关在 RunAs 角色映射与用户和组到角色映射之间执行的验证检查的更多信息,请参阅给用户指定 RunAs 角色

  12. 单击确定 如果角色指定与 RunAs 角色指定之间有任何验证问题,那么不会落实更改,并且,将显示指示问题的错误消息。如果存在问题,请确保 RunAs 角色中的用户也是正规角色的成员。如果正规角色包含一个组,并且该组包含 RunAs 角色中的用户,请确保使用管理控制台给该组指定该角色。执行步骤 4 和 5。避免使用任何其他不使用完整组名、主机名、组名或专有名称 (DN) 的过程。

结果

已将用户和组信息添加到应用程序的绑定文件中。以后,将使用此信息来进行授权。
注: 如果您更改域,那么必须使用新域名重复此过程。

下一步做什么

在给用户和组指定角色时,必须执行本任务,这将使正确的用户和组能够访问受保护的应用程序。如果您正在安装应用程序,请完成安装。安装应用程序后,在运行该应用程序时,可以根据本任务中设置的用户和组映射来访问资源。如果对应用程序进行管理并修改用户和组到角色的映射,请确保保存更改,然后停止并重新启动应用程序以使更改生效。尝试在应用程序中访问 Java EE 资源以验证更改是否已生效。
注: 根据配置活动用户注册表的配置方式,将以不同的格式来显示安全用户或组角色映射的搜索结果。借助联合存储库,可以使用 LDAP、基于文件的和定制的注册表。WebSphere Application Server 可以通过表中所列的用户名来唯一标识各种注册表中的用户。
[AIX Solaris HP-UX Linux Windows][IBM i]注意: 在分布式环境中,如果安装带有样本的 WebSphere Application Server,使用联合存储库来启用安全性,然后使用样本应用程序来启动 server1 服务器,那么该服务器可能会产生异常。但是,服务器会成功启动。Deployment Manager 在创建 Deployment Manager 概要文件时未创建用户和组样本。要解决样本未能装入所导致的异常,请创建您自己的样本用户和组。在管理控制台中,请执行下列操作:
  1. 单击用户和组 > 管理用户
  2. 创建 samples 用户和 sampadmn 组。samples 用户是 sampadmn 组的成员。
有关更多帮助,请通过单击“管理用户”窗格上的关于此页面的更多信息来参阅“管理用户”帮助主题。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tasroles
文件名:tsec_tasroles.html