Virtual member manager は、 構成の変更と実行時 API の使用の両方のセキュリティーに基づいた役割を提供します。
Virtual member manager の構成は、WebSphere 管理コンソール、wsadmin コマンド、およびスクリプト記述で変更できます。WebSphere Application Server の管理者の役割を割り当てられたユーザーのみが、コンソールから、あるいはコマンドを使用して構成 を変更することができます。 wsadmin コマンドは、WebSphere Application Server のインストール中にローカル・モードで使用することもできます。
Account-Owner-Role SEARCH Entity/RolePlayer/Party/LoginAccount/* UPDATE Entity/RolePlayer/Party/LoginAccount/* WRITE Entity/RolePlayer/Party/LoginAccount/* sensitive READ Entity/RolePlayer/Party/LoginAccount/* unchecked WRITE Entity/RolePlayer/Party/LoginAccount/* unchecked All Authenticated Users Account-Owner-Role {Condition: OWNERSHIP == true}
WebSphere Application Server 管理者役割が割り当てられていないユーザーが Virtual member manager のメソッドにアクセスできるようにするには、ユーザーまたはグループに、以下に示す事前定義の Virtual member manager 役割の 1 つを割り当てます。
事前定義の Virtual member manager 役割と対応するアクセス権を次の表に示します。
役割名 | メソッド・アクセス権 |
---|---|
IdMgrAdmin (WAS 管理者と同じ権限) | create |
IdMgrWriter | create |
IdMgrReader | search |
ユーザーまたはグループは 1 つの役割にのみマップできます。また、すべてのログイン・ユーザーを特定の役割にマップすることもできます。このようにマップするには、グループ ID ではなく値 ALLAUTHENTICATED を持つ特殊オブジェクトを使用します。グループ・メンバーシップによって複数の役割が 1 人のユーザーに付与されている場合、役割の適用順序に特定の優先順位はありません。ただし、各役割はその他の役割のサブセットまたはスーパーセットであるため、競合する役割はありません。例えば IdMgrWriter には IdMgrReader アクセス権と IdMgrWriter アクセス権が含まれており、IdMgrAdmin には IdMgrReader、IdMgrWriter、および IdMgrAdmin アクセス権が含まれています。
ユーザーまたはグループに事前定義の Virtual member manager 役割を割り当てる方法については、WebSphere Application Server インフォメーション・センターのAdminTask オブジェクトの IdMgrConfig コマンド・グループ トピックの mapIdMgrUserToRole、mapIdMgrGroupToRole、removeIdMgrUsersFromRole、removeIdMgrGroupsFromRole、listIdMgrUsersForRoles、および listIdMgrGroupsForRoles コマンドの説明を参照してください。