Assurance d'une sécurité

Virtual Member Manager fournit une sécurité basée sur les rôles pour modifier la configuration et utiliser les API d'exécution.

Sécurité de la configuration

La configuration de virtual member manager est modifiable à partir de la console d'administration WebSphere, les commandes wsadmin et le script. Seul un utilisateur doté d'un rôle d'administrateur pour WebSphere Application Server peut modifier la configuration à partir de la console ou en utilisant les commandes. Vous pouvez également vous servir des commandes wsadmin en mode local pendant l'installation de WebSphere Application Server.

Sécurité d'exécution

Pendant les opérations d'exécution, par défaut, virtual member manager prend en charge deux rôles uniquement :
Administrateur WebSphere Application Server
Un utilisateur qui s'identifie comme l'administrateur de WebSphere Application Server, peut réaliser toutes les fonctions virtual member manager sur l'objet virtual member manager.
Rôle Propriétaire de compte
Le rôle de propriétaire de compte est un rôle spécifique à virtual member manager et non à J2EE. Si l'utilisateur autorisé est le propriétaire de l'objet de registre, l'utilisateur se voit attribuer automatiquement le rôle de propriétaire de compte. L'utilisateur autorisé peut modifier son propre mot de passe et effectuer une recherche lui-même. L'utilisateur ne peut en aucun cas effectuer d'autres modifications, ni rechercher, afficher, créer ou supprimer des objets des référentiels.
Rôle-Propriétaire-Compte
	SEARCH Entity/RolePlayer/Party/LoginAccount/*
	UPDATE Entity/RolePlayer/Party/LoginAccount/*
	WRITE Entity/RolePlayer/Party/LoginAccount/* sensitive
	READ Entity/RolePlayer/Party/LoginAccount/* unchecked
	WRITE Entity/RolePlayer/Party/LoginAccount/* unchecked

Tous les utilisateurs autorisés
	Account-Owner-Role {Condition: OWNERSHIP == true}
	
L'API d'exécution de virtual member manager dont a besoin WebSphere Application Server pour l'authentification, ne dispose pas de contrôle d'accès validé. L'effet est double :
  • Empêche les dépendances circulaires entre la sécurité WebSphere Application Server et virtual member manager pendant l'authentification de WebSphere Application Server
  • Fournit des authentifications rapides

Mappage d'utilisateurs et de groupes à des rôles pour affecter les droits de gestion du référentiel fédéré

Si vous souhaitez permettre aux utilisateurs ne possédant pas le rôle d'administrateur WebSphere Application Server d'accéder aux méthodes de virtual member manager, vous pouvez affecter à l'utilisateur ou au groupe l'un des rôles virtual member manager prédéfinis ci-après.

Les rôles de virtual member manager prédéfinis et leurs droits correspondants sont répertoriés dans le tableau suivant :

Tableau 1. Rôles virtual member manager prédéfinis et droits
Nom de rôle Droits sur la méthode
IdMgrAdmin (mêmes droits que l'administrateur WAS)

create
update
delete
search
get
createSchema
getSchema

IdMgrWriter

create
update
delete
search
get

IdMgrReader

search
get

Vous ne pouvez mapper un utilisateur ou un groupe qu'à un seul rôle. Vous pouvez également mapper tous les utilisateurs connectés à un rôle spécifique, à l'aide d'un sujet spécial avec la valeur ALLAUTHENTICATED à la place de l'ID groupe. Si plusieurs rôles sont octroyés à un utilisateur via l'appartenance à un groupe, aucune priorité spécifique n'est appliquée aux rôles. Toutefois, comme chaque rôle est un sous-ensemble ou sur-ensemble de l'autre, il n'y a pas de rôles conflictuels. Par exemple, IdMgrWriter possède les droits d'IdMgrReader et d'IdMgrWriter et IdMgrAdmin, les droits d'IdMgrReader, d'IdMgrWriter et d'IdMgrAdmin.

Les limitations suivantes s'appliquent :
  • Les droits affectés à chaque rôle sont codés en dur ; vous ne pouvez pas les modifier ou les personnaliser.
  • Le contrôle d'accès au niveau groupe d'un attribut n'est pas appliqué.
  • En fonction du rôle qui leur est affecté, les utilisateurs reçoivent tous les droits d'accès appropriés sur tous les attributs et groupes d'attributs.

Pour plus d'informations sur la manière d'affecter des utilisateurs ou des groupes aux rôles de virtual member manager prédéfinis, reportez-vous aux commandes mapIdMgrUserToRole, mapIdMgrGroupToRole, removeIdMgrUsersFromRole, removeIdMgrGroupsFromRole, listIdMgrUsersForRoles et listIdMgrGroupsForRoles, dans la rubrique Groupe de commandes IdMgrConfig pour l'objet AdminTask dans le centre de documentation de WebSphere Application Server.



Conditions d'utilisation | Commentaires