Dans la leçon précédente, vous avez affecté des autorisations utilisateur individuelles aux principaux utilisateur dans la règle d'autorisation JAAS (Java Authentication and Authorization CService). Cependant, lorsque vous avez des centaines ou des milliers d'utilisateurs, utilisez l'autorisation de groupe, qui autorise l'accès en fonction des groupes plutôt que des utilisateurs individuels.
Malheureusement, l'objet Subject qui est authentifié depuis de WebSphere Application Server contient uniquement un principal utilisateur. Cet objet ne contient pas de principal. Vous pouvez ajouter un module de connexion personnalisé pour alimenter le principal de groupe dans l'objet Subject.
Pour ce tutoriel, le module de connexion personnalisé s'appelle com.ibm.websphere.samples.objectgrid.security.lm.WASAddGroupLoginModule. Le module se trouve dans le fichier groupLM.jar. Placez le fichier JAR dans le répertoire WAS-INSTALL/lib/ext.
grant codebase "http://www.ibm.com/com/ibm/ws/objectgrid/security/PrivilegedAction"
principal com.ibm.websphere.sample.xs.security.WSGroupPrincipal
"defaultWIMFileBasedRealm/cn=operatorGroup,o=defaultWIMFileBasedRealm" {
permission com.ibm.websphere.objectgrid.security.MapPermission "Grid.Map1", "read";
};
grant codebase "http://www.ibm.com/com/ibm/ws/objectgrid/security/PrivilegedAction"
principal com.ibm.websphere.sample.xs.security.WSGroupPrincipal
"defaultWIMFileBasedRealm/cn=adminGroup,o=defaultWIMFileBasedRealm" {
permission com.ibm.websphere.objectgrid.security.MapPermission "Grid.Map1", "all";
};
Le nom du principal est WSGroupPrincipal qui représente le groupe. Procédez comme suit pour configurer le module de connexion com.ibm.websphere.samples.objectgrid.security.lm.WASAddGroupLoginModule :
Dans la console d'administration, effectuez les étapes suivantes pour les serveurs xs1 et xs2 dans xsCluster. Si une topologie de déploiement différente est utilisée, effectuez les étapes suivantes pour les serveurs d'applications qui hébergent les serveurs de conteneur.
Vous pouvez vérifier que l'autorisation de groupe est configurée par le module de connexion avec l'exemple d'application.
Vous avez configuré des groupes pour simplifier l'attribution des droits aux utilisateurs de votre application.