Virtual member manager 为更改配置和使用运行时 API 提供了基于角色的安全性。
Virtual member manager 配置可以从 WebSphere 管理控制台、wsadmin 命令和脚本编制进行更改。只有分配有 WebSphere Application Server 管理员角色的用户才能从控制台或使用命令来更改配置。 wsadmin 命令还可以在 WebSphere Application Server 安装期间以本地方式使用。
Account-Owner-Role SEARCH Entity/RolePlayer/Party/LoginAccount/* UPDATE Entity/RolePlayer/Party/LoginAccount/* WRITE Entity/RolePlayer/Party/LoginAccount/* sensitive READ Entity/RolePlayer/Party/LoginAccount/* unchecked WRITE Entity/RolePlayer/Party/LoginAccount/* unchecked All Authenticated Users Account-Owner-Role {Condition: OWNERSHIP == true}
如果要使未分配有 WebSphere Application Server 管理员角色的用户能访问 virtual member manager 方法,可以为该用户或组分配下列其中一个预定义的 virtual member manager 角色。
下表中列出了预定义的 virtual member manager 角色及其对应的许可权:
角色名称 | 方法许可权 |
---|---|
IdMgrAdmin(与 WAS 管理员具有相同的权限) | create |
IdMgrWriter | create |
IdMgrReader | search |
您可以将用户或组只映射到一个角色。还可以使用具有值 ALLAUTHENTICATED 而不是组标识的特殊主题将所有登录的用户映射到一个特定角色。如果通过组成员资格为用户授予了多个角色,那么这些应用的角色没有特定的优先顺序。但由于每个角色都是另一个角色的子集或超集,因此不存在冲突角色。例如,IdMgrWriter 具有 IdMgrReader 和 IdMgrWriter 许可权,而 IdMgrAdmin 具有 IdMgrReader、IdMgrWriter 和 IdMgrAdmin 许可权。
有关如何将用户或组分配给预定义的 virtual member manager 角色的信息,请阅读 WebSphere Application Server 信息中心的 AdminTask 对象的 IdMgrConfig 命令组主题中的 mapIdMgrUserToRole、mapIdMgrGroupToRole、removeIdMgrUsersFromRole、removeIdMgrGroupsFromRole、listIdMgrUsersForRoles 和 listIdMgrGroupsForRoles 命令。