提供安全性

Virtual member manager 为更改配置和使用运行时 API 提供了基于角色的安全性。

配置安全性

Virtual member manager 配置可以从 WebSphere 管理控制台、wsadmin 命令和脚本编制进行更改。只有分配有 WebSphere Application Server 管理员角色的用户才能从控制台或使用命令来更改配置。 wsadmin 命令还可以在 WebSphere Application Server 安装期间以本地方式使用。

运行时安全性

在运行时操作期间,缺省情况下,virtual member manager 仅支持两个角色:
WebSphere Application Server 管理员
以 WebSphere Application Server 管理员身份认证的用户可以针对任何 virtual member manager 对象执行任何 virtual member manager 功能。
帐户所有者角色
“帐户所有者”角色是特定于 virtual member manager 的角色,而不是 J2EE 角色。如果已认证的用户是注册表对象的所有者,那么可以通过程序来为该用户分配“帐户所有者”角色。 已认证的用户可以更改自己的密码但只能搜索自己本身。此类用户无权进行任何其他修改,也不能搜索、查看、创建或删除存储库中的任何对象。
Account-Owner-Role
	SEARCH Entity/RolePlayer/Party/LoginAccount/*
	UPDATE Entity/RolePlayer/Party/LoginAccount/*
	WRITE Entity/RolePlayer/Party/LoginAccount/* sensitive
	READ Entity/RolePlayer/Party/LoginAccount/* unchecked
	WRITE Entity/RolePlayer/Party/LoginAccount/* unchecked

All Authenticated Users
	Account-Owner-Role {Condition: OWNERSHIP == true}
	
WebSphere Application Server 需要用于认证的 virtual member manager 运行时 API 没有应用任何访问控制。影响有两方面:
  • 防止在向 WebSphere Application Server 认证期间,WebSphere Application Server 安全性和 virtual member manager 之间有循环依赖性
  • 提供快速认证

将用户和组映射到角色以分配联合存储库管理权限

如果要使未分配有 WebSphere Application Server 管理员角色的用户能访问 virtual member manager 方法,可以为该用户或组分配下列其中一个预定义的 virtual member manager 角色。

下表中列出了预定义的 virtual member manager 角色及其对应的许可权:

表 1. 预定义的 virtual member manager 角色和许可权
角色名称 方法许可权
IdMgrAdmin(与 WAS 管理员具有相同的权限)

create
update
删除
search
get
createSchema
getSchema

IdMgrWriter

create
update
删除
search
get

IdMgrReader

search
get

您可以将用户或组只映射到一个角色。还可以使用具有值 ALLAUTHENTICATED 而不是组标识的特殊主题将所有登录的用户映射到一个特定角色。如果通过组成员资格为用户授予了多个角色,那么这些应用的角色没有特定的优先顺序。但由于每个角色都是另一个角色的子集或超集,因此不存在冲突角色。例如,IdMgrWriter 具有 IdMgrReader 和 IdMgrWriter 许可权,而 IdMgrAdmin 具有 IdMgrReader、IdMgrWriter 和 IdMgrAdmin 许可权。

以下限制适用:
  • 分配给每个角色的许可权是硬编码的;不能对其进行修改或定制。
  • 不会强制执行属性的组级别访问权检查。
  • 根据为用户分配的角色,会为用户授予所有属性和属性组上的所有相关许可权。

有关如何将用户或组分配给预定义的 virtual member manager 角色的信息,请阅读 WebSphere Application Server 信息中心的 AdminTask 对象的 IdMgrConfig 命令组主题中的 mapIdMgrUserToRole、mapIdMgrGroupToRole、removeIdMgrUsersFromRole、removeIdMgrGroupsFromRole、listIdMgrUsersForRoles 和 listIdMgrGroupsForRoles 命令。



使用条款 | 反馈