O gerenciador de membro virtual fornece segurança baseada em função para alterar a configuração e usar as APIs de tempo de execução.
A configuração do virtual member manager pode ser alterada a partir do WebSphere Administrative Console, da geração de scripts e dos comandos wsadmin. Apenas um usuário designado pela função do WebSphere Application Server Administrator pode alterar a configuração do console ou utilizar os comandos. Os comandos wsadmin também podem ser usados no modo local durante a instalação do WebSphere Application Server.
Account-Owner-Role SEARCH Entity/RolePlayer/Party/LoginAccount/* UPDATE Entity/RolePlayer/Party/LoginAccount/* WRITE Entity/RolePlayer/Party/LoginAccount/* sensitive READ Entity/RolePlayer/Party/LoginAccount/* unchecked WRITE Entity/RolePlayer/Party/LoginAccount/* unchecked All Authenticated Users Account-Owner-Role {Condition: OWNERSHIP == true}
Para permitir que usuários não designados à função de Administrador do WebSphere Application Server acessem métodos do gerenciador de membro virtual, é possível designar ao usuário ou ao grupo uma das seguintes funções predefinidas do gerenciador de membro virtual.
As funções predefinidas do gerenciador de membro virtual e suas permissões correspondentes são listadas na tabela a seguir:
Nome da função | Permissão de método |
---|---|
IdMgrAdmin (mesma autoridade do Administrador do WAS) | create |
IdMgrWriter | create |
IdMgrReader | search |
É possível mapear um usuário ou um grupo para uma função apenas. Também é possível mapear todos os usuários com login efetuado para uma função específica, usando um assunto especial com o valor ALLAUTHENTICATED em vez do ID do grupo. No caso de diversas funções serem concedidas a um usuário através de associação ao grupo, não há ordem específica de precedência na qual as funções são aplicadas. Entretanto, como cada função é um subconjunto ou superconjunto da outra, não há conflito de funções. Por exemplo, IdMgrWriter tem permissões IdMgrReader e IdMgrWriter, e IdMgrAdmin tem permissões IdMgrReader, IdMgrWriter e IdMgrAdmin.
Para obter informações sobre como designar usuários ou grupos às funções predefinidas do gerenciador de membro virtual, leia sobre os comandos mapIdMgrUserToRole, mapIdMgrGroupToRole, removeIdMgrUsersFromRole, removeIdMgrGroupsFromRole, listIdMgrUsersForRoles e listIdMgrGroupsForRoles no tópico Grupo de comandos IdMgrConfig para o objeto AdminTask no centro de informações do WebSphere Application Server.