セキュリティーの提供

Virtual member manager は、 構成の変更と実行時 API の使用の両方のセキュリティーに基づいた役割を提供します。

セキュリティーの構成

Virtual member manager の構成は、WebSphere 管理コンソール、wsadmin コマンド、およびスクリプト記述で変更できます。WebSphere Application Server の管理者の役割を割り当てられたユーザーのみが、コンソールから、あるいはコマンドを使用して構成 を変更することができます。 wsadmin コマンドは、WebSphere Application Server のインストール中にローカル・モードで使用することもできます。

実行時のセキュリティー

実行時操作中には、デフォルトでは Virtual member manager は次の 2 つの役割のみをサポートします。
WebSphere Application Server 管理者
WebSphere Application Server の管理者として認証されるユーザーは、Virtual member manager オブジェクトのいずれに対してもすべての Virtual member manager の機能を実行することができます。
アカウント所有者の役割
アカウント所有者の 役割は、Virtual member manager 固有のものであって、J2EE の役割ではありません。認証されたユーザーがレジストリー・ オブジェクトの所有者である場合には、そのユーザーにはプログラマチックにアカウント所有者の役割が割り当てられます。認証された ユーザーは、所持するパスワードを変更し、自身のみを検索することができます。このユーザーは、その他の変更を許可されず、 リポジトリーに入っているどのようなオブジェクトの検索、表示、作成、または削除もできません。
Account-Owner-Role
	SEARCH Entity/RolePlayer/Party/LoginAccount/*
	UPDATE Entity/RolePlayer/Party/LoginAccount/*
	WRITE Entity/RolePlayer/Party/LoginAccount/* sensitive
	READ Entity/RolePlayer/Party/LoginAccount/* unchecked
	WRITE Entity/RolePlayer/Party/LoginAccount/* unchecked

All Authenticated Users
	Account-Owner-Role {Condition: OWNERSHIP == true}
	
WebSphere Application Server が認証のために必要とする Virtual member manager の実行時 API には、アクセス制御は適用されません。その効果は次の 2 つになります。
  • WebSphere Application Server 認証中の、WebSphere Application Server セキュリティー と Virtual member manager との間の循環依存関係の防止
  • 迅速な認証の提供

統合リポジトリー管理権限割り当てのための役割へのユーザーおよびグループのマッピング

WebSphere Application Server 管理者役割が割り当てられていないユーザーが Virtual member manager のメソッドにアクセスできるようにするには、ユーザーまたはグループに、以下に示す事前定義の Virtual member manager 役割の 1 つを割り当てます。

事前定義の Virtual member manager 役割と対応するアクセス権を次の表に示します。

表 1. Virtual member manager の事前定義の役割とアクセス権
役割名 メソッド・アクセス権
IdMgrAdmin (WAS 管理者と同じ権限)

create
update
delete
search
get
createSchema
getSchema

IdMgrWriter

create
update
delete
search
get

IdMgrReader

search
get

ユーザーまたはグループは 1 つの役割にのみマップできます。また、すべてのログイン・ユーザーを特定の役割にマップすることもできます。このようにマップするには、グループ ID ではなく値 ALLAUTHENTICATED を持つ特殊オブジェクトを使用します。グループ・メンバーシップによって複数の役割が 1 人のユーザーに付与されている場合、役割の適用順序に特定の優先順位はありません。ただし、各役割はその他の役割のサブセットまたはスーパーセットであるため、競合する役割はありません。例えば IdMgrWriter には IdMgrReader アクセス権と IdMgrWriter アクセス権が含まれており、IdMgrAdmin には IdMgrReader、IdMgrWriter、および IdMgrAdmin アクセス権が含まれています。

次の制約事項が適用されます。
  • 各役割に割り当てられているアクセス権はハードコーディングされており、変更またはカスタマイズすることはできません。
  • 属性のグループ・レベル・アクセス・チェックは行われません。
  • ユーザーには、割り当てられている役割に基づいて、すべての属性および属性グループに関連するアクセス権がすべて付与されています。

ユーザーまたはグループに事前定義の Virtual member manager 役割を割り当てる方法については、WebSphere Application Server インフォメーション・センターのAdminTask オブジェクトの IdMgrConfig コマンド・グループ トピックの mapIdMgrUserToRole、mapIdMgrGroupToRole、removeIdMgrUsersFromRole、removeIdMgrGroupsFromRole、listIdMgrUsersForRoles、および listIdMgrGroupsForRoles コマンドの説明を参照してください。



利用条件 | フィードバック