Virtual member manager proporciona una seguridad basada en roles para cambiar la configuración y utilizar las API de ejecución.
La configuración de virtual member manager se puede modificar desde la consola administrativa de WebSphere, los mandatos wsadmin y los scripts. Sólo un usuario que tiene asignado el rol Administrador de WebSphere Application Server puede cambiar la configuración desde la consola o mediante los mandatos. Los mandatos wsadmin también se pueden utilizar en modalidad local durante la instalación de WebSphere Application Server.
Account-Owner-Role SEARCH Entity/RolePlayer/Party/LoginAccount/* UPDATE Entity/RolePlayer/Party/LoginAccount/* WRITE Entity/RolePlayer/Party/LoginAccount/* sensitive READ Entity/RolePlayer/Party/LoginAccount/* unchecked WRITE Entity/RolePlayer/Party/LoginAccount/* unchecked All Authenticated Users Account-Owner-Role {Condition: OWNERSHIP == true}
Si desea permitir que los usuarios que no tienen asignado el rol de administrador de WebSphere Application Server puedan acceder a métodos de virtual member manager, puede asignar al usuario o grupo los siguientes roles predefinidos de virtual member manager.
Los roles predefinidos de virtual member manager y los permisos correspondientes se listan en la tabla siguiente:
Nombre de rol | Permiso de método |
---|---|
IdMgrAdmin (misma autorización que el administrador de WAS) | create |
IdMgrWriter | create |
IdMgrReader | search |
Sólo puede correlacionar un usuario o un grupo con un rol. También puede correlacionar todos los usuarios que han iniciado la sesión con un rol específico, utilizando un sujeto especial con el valor ALLAUTHENTICATED en lugar del ID de grupo. En caso de que se otorguen varios roles a un usuario mediante la pertenencia a grupos, no existe ningún orden de prioridad en que deban aplicarse los roles. Sin embargo, dado que cada rol es un subconjunto o superconjunto del otro, no existen roles conflictivos. Por ejemplo, IdMgrWriter tiene los permisos IdMgrReader e IdMgrWriter, e IdMgrAdmin tiene los permisos IdMgrReader, IdMgrWriter e IdMgrAdmin.
Para obtener información sobre cómo asignar usuarios o grupos a los roles predefinidos de virtual member manager, lea sobre los mandatos mapIdMgrUserToRole, mapIdMgrGroupToRole, removeIdMgrUsersFromRole, removeIdMgrGroupsFromRole, listIdMgrUsersForRoles y listIdMgrGroupsForRoles en el tema Grupo de mandatos IdMgrConfig para el objeto AdminTask en el Information Center de WebSphere Application Server.