Virtual Member Manager stellt rollenbasierte Sicherheit sowohl für die Änderung der Konfiguration als auch für die Verwendung der Laufzeit-APIs bereit.
Die Konfiguration von Virtual Member Manager kann über die WebSphere-Administrationskonsole, die wsadmin-Befehle und die Script-Erstellung geändert werden. Die Konfiguration kann über die Konsole oder unter Verwendung der Befehle ausschließlich von einem Benutzer geändert werden, der für WebSphere Application Server die Administratorrolle hat. Die wsadmin-Befehle können während der Installation von WebSphere Application Server auch im Lokalmodus verwendet werden.
Account-Owner-Role SEARCH Entity/RolePlayer/Party/LoginAccount/* UPDATE Entity/RolePlayer/Party/LoginAccount/* WRITE Entity/RolePlayer/Party/LoginAccount/* sensitive READ Entity/RolePlayer/Party/LoginAccount/* unchecked WRITE Entity/RolePlayer/Party/LoginAccount/* unchecked All Authenticated Users Account-Owner-Role {Condition: OWNERSHIP == true}
Wenn Sie Benutzern, die nicht der Administratorrolle von WebSphere Application Server zugeordnet sind, den Zugriff auf die Virtual Member Manager-Methoden ermöglichen wollen, können Sie einen Benutzer oder eine Gruppe zu einer der folgenden vordefinierten Virtual Member Manager-Rollen zuordnen.
Die vordefinierten Virtual Member Manager-Rollen und ihre entsprechenden Berechtigungen sind in der folgenden Tabelle angegeben:
Rollenname | Methodenberechtigung |
---|---|
IdMgrAdmin (gleiche Berechtigung wie WAS-Administrator) | create |
IdMgrWriter | create |
IdMgrReader | search |
Sie können einen Benutzer oder eine Gruppe jeweils nur zu einer einzigen Rolle zuordnen. Außerdem können Sie alle angemeldeten Benutzer einer bestimmten Rolle zuordnen. Hierzu verwenden Sie anstelle der Gruppen-ID ein spezielles Subjekt mit dem Wert ALLAUTHENTICATED. Falls einem Benutzer durch die Gruppenzugehörigkeit mehrere Rollen zugeordnet sind, gibt es für die Anwendung der Rollen keine bestimmte Ausführungspriorität. Da jede Rolle jedoch eine Ober- oder Untergruppe einer anderen Rolle darstellt, kommt es nicht zu Rollenkonflikten. Beispielsweise hat die Rolle "IdMgrWriter" die Berechtigungen der Rollen "IdMgrReader" und "IdMgrWriter". Die Rolle "IdMgrAdmin" hat die Berechtigungen der Rollen "IdMgrReader", "IdMgrWriter" und "IdMgrAdmin".
Informationen zum Zuordnen von Benutzern und Gruppen zu den vordefinierten Virtual Member Manager-Rollen enthalten die Abschnitte für die Befehle "mapIdMgrUserToRole", "mapIdMgrGroupToRole", "removeIdMgrUsersFromRole", "removeIdMgrGroupsFromRole", "listIdMgrUsersForRoles" und "listIdMgrGroupsForRoles" im Thema über die Befehlsgruppe "IdMgrConfig" für das Objekt "AdminTask" im Information Center von WebSphere Application Server.