Sicherheit bereitstellen

Virtual Member Manager stellt rollenbasierte Sicherheit sowohl für die Änderung der Konfiguration als auch für die Verwendung der Laufzeit-APIs bereit.

Konfigurationssicherheit

Die Konfiguration von Virtual Member Manager kann über die WebSphere-Administrationskonsole, die wsadmin-Befehle und die Script-Erstellung geändert werden. Die Konfiguration kann über die Konsole oder unter Verwendung der Befehle ausschließlich von einem Benutzer geändert werden, der für WebSphere Application Server die Administratorrolle hat. Die wsadmin-Befehle können während der Installation von WebSphere Application Server auch im Lokalmodus verwendet werden.

Sicherheit zur Ausführungszeit

Bei Laufzeitvorgängen unterstützt Virtual Member Manager standardmäßig nur zwei Rollen:
WebSphere Application Server-Administrator
Ein Benutzer, der als WebSphere Application Server-Administrator authentifiziert wird, kann alle Virtual Member Manager-Funktionen für alle Virtual Member Manager-Objekte ausführen.
Accounteignerrolle
Die Rolle des Accounteigners ist eine spezifische Rolle von Virtual Member Manager, keine J2EE-Rolle. Wenn der authentifizierte Benutzer der Eigner des Registry-Objekts ist, wird dem Benutzer über das Programm die Rolle des Accounteigners übertragen. Der authentifizierte Benutzer kann lediglich sein eigenes Kennwort ändern und nach sich selbst suchen. Der Benutzer ist weder berechtigt, etwaige andere Änderungen auszuführen, noch darf er Objekte in Repositorys suchen, anzeigen, erstellen oder löschen.
Account-Owner-Role
	SEARCH Entity/RolePlayer/Party/LoginAccount/*
	UPDATE Entity/RolePlayer/Party/LoginAccount/*
		WRITE Entity/RolePlayer/Party/LoginAccount/* sensitive
		READ Entity/RolePlayer/Party/LoginAccount/* unchecked
		WRITE Entity/RolePlayer/Party/LoginAccount/* unchecked

All Authenticated Users
		Account-Owner-Role {Condition: OWNERSHIP == true}
	
Die Laufzeit-API von Virtual Member Manager, die WebSphere Application Server für die Authentifizierung benötigt, verfügt über Zugriffssteuerung. Dies hat zwei Effekte:
  • Schleifenabhängigkeiten zwischen der WebSphere Application Server-Sicherheit und Virtual Member Manager während der Authentifizierung für WebSphere Application Server werden verhindert.
  • Rasche Authentifizierungen werden ermöglicht.

Benutzer und Gruppen zur Zuordnung von Verwaltungsberechtigungen für föderierte Repositorys zu Rollen zuordnen

Wenn Sie Benutzern, die nicht der Administratorrolle von WebSphere Application Server zugeordnet sind, den Zugriff auf die Virtual Member Manager-Methoden ermöglichen wollen, können Sie einen Benutzer oder eine Gruppe zu einer der folgenden vordefinierten Virtual Member Manager-Rollen zuordnen.

Die vordefinierten Virtual Member Manager-Rollen und ihre entsprechenden Berechtigungen sind in der folgenden Tabelle angegeben:

Tabelle 1. Vordefinierte Virtual Member Manager-Rollen und Berechtigungen
Rollenname Methodenberechtigung
IdMgrAdmin (gleiche Berechtigung wie WAS-Administrator)

create
update
delete
search
get
createSchema
getSchema

IdMgrWriter

create
update
delete
search
get

IdMgrReader

search
get

Sie können einen Benutzer oder eine Gruppe jeweils nur zu einer einzigen Rolle zuordnen. Außerdem können Sie alle angemeldeten Benutzer einer bestimmten Rolle zuordnen. Hierzu verwenden Sie anstelle der Gruppen-ID ein spezielles Subjekt mit dem Wert ALLAUTHENTICATED. Falls einem Benutzer durch die Gruppenzugehörigkeit mehrere Rollen zugeordnet sind, gibt es für die Anwendung der Rollen keine bestimmte Ausführungspriorität. Da jede Rolle jedoch eine Ober- oder Untergruppe einer anderen Rolle darstellt, kommt es nicht zu Rollenkonflikten. Beispielsweise hat die Rolle "IdMgrWriter" die Berechtigungen der Rollen "IdMgrReader" und "IdMgrWriter". Die Rolle "IdMgrAdmin" hat die Berechtigungen der Rollen "IdMgrReader", "IdMgrWriter" und "IdMgrAdmin".

Es gelten die folgenden Einschränkungen:
  • Die einer Rolle zuordneten Berechtigungen sind fest codiert und können weder geändert noch angepasst werden.
  • Die Zugriffsprüfung auf Gruppenebene für ein Attribut wird nicht durchgesetzt.
  • Gemäß der ihnen zugeordneten Rolle werden den Benutzern alle relevanten Berechtigungen für alle Attribute und Attributgruppen erteilt.

Informationen zum Zuordnen von Benutzern und Gruppen zu den vordefinierten Virtual Member Manager-Rollen enthalten die Abschnitte für die Befehle "mapIdMgrUserToRole", "mapIdMgrGroupToRole", "removeIdMgrUsersFromRole", "removeIdMgrGroupsFromRole", "listIdMgrUsersForRoles" und "listIdMgrGroupsForRoles" im Thema über die Befehlsgruppe "IdMgrConfig" für das Objekt "AdminTask" im Information Center von WebSphere Application Server.



Rechtliche Hinweise | Feedback