Fornecendo Segurança

O gerenciador de membro virtual fornece segurança baseada em função para alterar a configuração e usar as APIs de tempo de execução.

Segurança de Configuração

A configuração do virtual member manager pode ser alterada a partir do WebSphere Administrative Console, da geração de scripts e dos comandos wsadmin. Apenas um usuário designado pela função do WebSphere Application Server Administrator pode alterar a configuração do console ou utilizar os comandos. Os comandos wsadmin também podem ser usados no modo local durante a instalação do WebSphere Application Server.

Segurança de Tempo de Execução

Durante as operações de tempo de execução, por padrão, o gerenciador de membro virtual suporta apenas duas funções:
WebSphere Application Server Administrator
Um usuário que é autenticado como WebSphere Application Server Administrator pode executar qualquer função do virtual member manager em qualquer objeto do virtual member manager.
Função Proprietário da Conta
A função Proprietário da Conta é um virtual member manager específico, não uma função do J2EE. Se o usuário autenticado for o proprietário do objeto de registro, o usuário será atribuído, de forma programada, à função Proprietário da Conta. O usuário autenticado pode alterar sua própria senha e procurar apenas nele. O usuário não está autorizado a fazer nenhuma modificação nem pode procurar, visualizar, criar ou excluir qualquer objeto dos repositórios.
Account-Owner-Role
	SEARCH Entity/RolePlayer/Party/LoginAccount/*
	UPDATE Entity/RolePlayer/Party/LoginAccount/*
	WRITE Entity/RolePlayer/Party/LoginAccount/* sensitive
	READ Entity/RolePlayer/Party/LoginAccount/* unchecked
	WRITE Entity/RolePlayer/Party/LoginAccount/* unchecked

All Authenticated Users
	Account-Owner-Role {Condition: OWNERSHIP == true}
	
A API de tempo de execução do virtual member manager que o WebSphere Application Server precisa para autenticação não possui nenhum controle de acesso aplicado. O efeito é dobrado:
  • Evita dependências circulares entre a segurança do WebSphere Application Server e do virtual member manager durante a autenticação para o WebSphere Application Server
  • Fornece autenticações rápidas

Mapeando usuários e grupos para funções para designar direitos de gerenciamento de repositório associado

Para permitir que usuários não designados à função de Administrador do WebSphere Application Server acessem métodos do gerenciador de membro virtual, é possível designar ao usuário ou ao grupo uma das seguintes funções predefinidas do gerenciador de membro virtual.

As funções predefinidas do gerenciador de membro virtual e suas permissões correspondentes são listadas na tabela a seguir:

Tabela 1. Funções predefinidas e permissões do gerenciador de membro virtual
Nome da função Permissão de método
IdMgrAdmin (mesma autoridade do Administrador do WAS)

create
update
delete
search
get
createSchema
getSchema

IdMgrWriter

create
update
delete
search
get

IdMgrReader

search
get

É possível mapear um usuário ou um grupo para uma função apenas. Também é possível mapear todos os usuários com login efetuado para uma função específica, usando um assunto especial com o valor ALLAUTHENTICATED em vez do ID do grupo. No caso de diversas funções serem concedidas a um usuário através de associação ao grupo, não há ordem específica de precedência na qual as funções são aplicadas. Entretanto, como cada função é um subconjunto ou superconjunto da outra, não há conflito de funções. Por exemplo, IdMgrWriter tem permissões IdMgrReader e IdMgrWriter, e IdMgrAdmin tem permissões IdMgrReader, IdMgrWriter e IdMgrAdmin.

As seguintes limitações se aplicam:
  • As permissões designadas a cada função são codificadas permanentemente; você não pode modificá-las nem customizá-las.
  • A verificação de acesso de nível de grupo de um atributo não é imposta.
  • De acordo com a função designada a eles, os usuários recebem todas as permissões relevantes em todos os atributos e grupos de atributos.

Para obter informações sobre como designar usuários ou grupos às funções predefinidas do gerenciador de membro virtual, leia sobre os comandos mapIdMgrUserToRole, mapIdMgrGroupToRole, removeIdMgrUsersFromRole, removeIdMgrGroupsFromRole, listIdMgrUsersForRoles e listIdMgrGroupsForRoles no tópico Grupo de comandos IdMgrConfig para o objeto AdminTask no centro de informações do WebSphere Application Server.



Termos de uso | Feedback