Suministro de seguridad

Virtual member manager proporciona una seguridad basada en roles para cambiar la configuración y utilizar las API de ejecución.

Seguridad de configuración

La configuración de virtual member manager se puede modificar desde la consola administrativa de WebSphere, los mandatos wsadmin y los scripts. Sólo un usuario que tiene asignado el rol Administrador de WebSphere Application Server puede cambiar la configuración desde la consola o mediante los mandatos. Los mandatos wsadmin también se pueden utilizar en modalidad local durante la instalación de WebSphere Application Server.

Seguridad de ejecución

Durante las operaciones de ejecución, de forma predeterminada, virtual member manager sólo da soporte a dos roles:
Administrador de WebSphere Application Server
Un usuario que se autentifica como administrador de WebSphere Application Server puede realizar cualquier función de virtual member manager en cualquier objeto de virtual member manager.
Rol Propietario de cuenta
El rol Propietario de cuenta es específico de virtual member manager y no es un rol J2EE. Si el usuario autentificado es el propietario del objeto de registro, al usuario se le asigna programáticamente el rol Propietario de objeto. El usuario autentificado puede cambiar su propia contraseña y realizar búsquedas únicamente según ella. El usuario no tiene autorización para realizar ninguna otra modificación, ni puede buscar, ver, crear o suprimir ningún objeto de los depósitos.
Account-Owner-Role
	SEARCH Entity/RolePlayer/Party/LoginAccount/*
	UPDATE Entity/RolePlayer/Party/LoginAccount/*
	WRITE Entity/RolePlayer/Party/LoginAccount/* sensitive
	READ Entity/RolePlayer/Party/LoginAccount/* unchecked
	WRITE Entity/RolePlayer/Party/LoginAccount/* unchecked

All Authenticated Users
	Account-Owner-Role {Condition: OWNERSHIP == true}
	
En la API de ejecución de virtual member manager que WebSphere Application Server necesita para la autentificación no se aplica ningún control de acceso. El efecto es doble:
  • Impide que haya dependencias circulares entre la seguridad de WebSphere Application Server y virtual member manager durante la autentificación en WebSphere Application Server
  • Proporciona una autentificación rápida

Correlación de usuarios y grupos con roles para asignar derechos de gestión de depósito federado

Si desea permitir que los usuarios que no tienen asignado el rol de administrador de WebSphere Application Server puedan acceder a métodos de virtual member manager, puede asignar al usuario o grupo los siguientes roles predefinidos de virtual member manager.

Los roles predefinidos de virtual member manager y los permisos correspondientes se listan en la tabla siguiente:

Tabla 1. Roles predefinidos de virtual member manager y permisos
Nombre de rol Permiso de método
IdMgrAdmin (misma autorización que el administrador de WAS)

create
update
delete
search
get
createSchema
getSchema

IdMgrWriter

create
update
delete
search
get

IdMgrReader

search
get

Sólo puede correlacionar un usuario o un grupo con un rol. También puede correlacionar todos los usuarios que han iniciado la sesión con un rol específico, utilizando un sujeto especial con el valor ALLAUTHENTICATED en lugar del ID de grupo. En caso de que se otorguen varios roles a un usuario mediante la pertenencia a grupos, no existe ningún orden de prioridad en que deban aplicarse los roles. Sin embargo, dado que cada rol es un subconjunto o superconjunto del otro, no existen roles conflictivos. Por ejemplo, IdMgrWriter tiene los permisos IdMgrReader e IdMgrWriter, e IdMgrAdmin tiene los permisos IdMgrReader, IdMgrWriter e IdMgrAdmin.

Se aplican las siguientes limitaciones:
  • Los permisos asignados a cada rol son de código fijo; no se pueden ni modificar ni personalizar.
  • No se impone la comprobación de acceso de nivel de grupo de un atributo.
  • En función del rol que se les asigna, se otorga a los usuarios todos los permisos pertinentes para todos los atributos y grupos de atributos.

Para obtener información sobre cómo asignar usuarios o grupos a los roles predefinidos de virtual member manager, lea sobre los mandatos mapIdMgrUserToRole, mapIdMgrGroupToRole, removeIdMgrUsersFromRole, removeIdMgrGroupsFromRole, listIdMgrUsersForRoles y listIdMgrGroupsForRoles en el tema Grupo de mandatos IdMgrConfig para el objeto AdminTask en el Information Center de WebSphere Application Server.



Condiciones de uso | Comentarios