Para facilitar o gerenciamento do banco de dados e garantir a segurança, o acesso ao WebSphere Commerce deve ser restrito a pessoas e organizações específicas. O processo de restringir o acesso é conhecido como controle de acesso ou autorização. O controle de acesso pode ser definido como diretrizes de segurança que:
- Permitem ou negam o acesso de um usuário de um sistema a recursos gerenciados por um sistema.
- Especificam quais ações o usuário pode executar em cada recurso.
O modelo de controle de acesso para o WebSphere Commerce é baseado na execução de diretivas de controle de acesso. As diretivas de controle de acesso são executadas pelo Gerenciador de Diretiva de controle de acesso. Em geral, quando um usuário tenta executar uma ação em um recurso protegido, o gerenciador de diretivas de controle de acesso determina primeiramente quais diretivas de controle de acesso são aplicáveis a esse usuário e, então, com base nessas diretivas de controle de acesso aplicáveis, determina se o usuário tem permissão para executar a ação solicitada no recurso específico.
O Administrador do Site gerencia as diretivas de controle de acesso que se aplicam a um site inteiro e pode gerenciar as diretivas de controle de acesso que se aplicam a uma loja. Para obter informações adicionais sobre o gerenciamento de diretivas de controle de acesso, consulte WebSphere Commerce - Guia de Segurança.
Grupos de diretivas de controle de acesso
Diferentes organizações em um site de e-commerce exigem conjuntos diferentes de diretivas de controle de acesso. Por exemplo, uma organização de vendedores exigiria diretivas relacionadas a compras, enquanto uma organização de compradores não as exigiria. Para realizar este tipo de requisito, no WebSphere Commerce, as diretivas de controle de acesso são particionadas nos grupos de diretiva de controle de acesso. Para que uma diretiva de controle de acesso seja aplicada ao site, ela deve pertencer a um grupo de diretivas de controle de acesso.Em seguida, com base em seus requisitos comerciais e de controle de acesso, as organizações assinam grupos de diretivas de controle de acesso apropriados. O Administrador do Site pode Assinar grupos de diretivas de controle de acesso utilizando o Administration Console.
Diretivas de controle de acesso
Uma diretiva de controle de acesso autoriza um grupo de usuários a executar ações específicas em um grupo de recursos do WebSphere Commerce. A menos que sejam autorizados por uma ou mais diretivas de controle de acesso, os usuários não têm acesso a funções. As diretivas de controle de acesso concedem autorização para um grupo específico de usuários para executar determinadas ações em recursos em um grupo de recursos especificado.
Uma diretiva de controle de acesso consiste em quatro partes:
- Grupo de acesso: O grupo de usuários ao qual as diretivas são aplicadas.
- Grupo de Ação: Um grupo de ações.
- Grupo de recursos: Os recursos controlados pela diretiva. Um grupo de recursos pode incluir objetos de negócios como "contrato" ou "pedido", ou um conjunto de comandos relacionados.
- Relacionamento (opcional): Cada tipo de recurso pode ter um conjunto de relacionamentos associado a ele. Cada recurso pode ter um conjunto de usuários que atendem a cada relacionamento.
Nota: Um usuário que pertence a um grupo de acesso específico pode executar ações no grupo de ações especificado nos recursos que pertencem ao grupo de recurso especificado, desde que o usuário atenda a um determinado relacionamento referente ao recurso.
Os Administradores do Site supervisionam as diretivas de controle de acesso para o site inteiro. O WebSphere Commerce vem com dois conjuntos de diretivas de controle de acesso padrão que podem ser utilizadas conforme fornecidas ou personalizadas. As diretivas de controle de acesso padrão são:
- Diretivas de padrões agrupáveis (tipo de diretiva -2)
- Diretivas de gabaritos agrupáveis (tipo de diretiva -3)
Tanto a diretiva de gabarito agrupável quanto a diretiva de padrão agrupável devem pertencer a um grupo de diretivas para que possam ser aplicadas ao sistema. Uma diretiva padrão agrupável é aplicada, uma vez, nas organizações que assinam a um grupo de diretivas que contém a diretiva.
As diretivas de gabaritos agrupáveis são dinâmicas, pois possuem um grupo de acesso que possui escopo, quando o sistema está em execução, para a organização à qual o recurso pertence. Por exemplo, quando esse tipo de diretiva é aplicada a um recurso que pertence à Organização XYZ, ela deve verificar se o usuário atendeu a uma das funções especificadas para a Organização XYZ ou para as organizações anteriores.
Um Administrador de Site pode executar as seguintes tarefas no Administration Console:
- Exibindo diretivas de controle de acesso
- Atualizando uma Diretiva de Controle de Acesso
- Excluindo uma Diretiva de Controle de Acesso
Recursos e Grupos de Recursos
Recursos são quaisquer objetos no sistema que precisam ser protegidos. Por exemplo, RFQs, Leilões, Usuários e Pedidos são alguns dos recursos no WebSphere Commerce que precisam ser protegidos. Cada recurso tem um proprietário. A propriedade do recurso pode ser utilizada para determinar as diretivas de controle de acesso que serão aplicadas nele.
Um grupo de recursos identifica um conjunto de recursos relacionados. Um grupo de recursos pode incluir objetos de negócios como um contrato ou um conjunto de comandos relacionados. Em controle de acesso, os grupos de recursos especificam os recursos para os quais a diretiva de controle de acesso autoriza o acesso. Os grupos de recursos podem ser explícitos ou implícitos.
- Os grupos de recursos implícitos que correspondem a um determinado conjunto de atributos, por exemplo, "usuários no departamento abc", "gerentes", "compradores", ou o nome da classe Java dos recursos.
- Grupos de recursos explícitos que são identificados por nome.
Incluir recursos em um grupo implicitamente, especificando seus atributos, facilita a autorização de acesso a muitos recursos, sem que seja necessário especificar cada recurso. Com isso, não é preciso incluir ou excluir o recurso quando ocorrerem alterações nele.
Incluir recursos explicitamente, listando seus nomes, permite o agrupamento de recursos individuais que podem não compartilhar necessariamente atributos comuns.
Nota: Os recursos e grupos de recursos são de propriedade da organização raiz. Outras organizações não podem possuir recursos ou grupos de recursos. RFQs não estão disponíveis no WebSphere Commerce Professional Edition.
Um Administrador de Site pode executar as seguintes tarefas no Administration Console:
Categoria de recursos
Categoria de recursos refere-se a uma classe de recursos. As categorias de recursos são classes Java, como Order, RFQs (request for quote) e Auction. Recursos são as instâncias dessas classes. Por exemplo, Auction1 criada pelo Administrador de Leilão A é um recurso; Auction2 criada pelo Administrador de Leilão B é outro recurso. Esses dois recursos pertencem à categoria de recursos Auction. Todos os recursos utilizados pelos componentes do WebSphere Commerce são registrados na tabela ACRESCGRY.
Relacionamentos de recursos
Cada chave de recurso pode ter algum tipo de relacionamento associado a ela e um conjunto de membros que preenchem cada relacionamento. Por exemplo, todos os recursos possuem um relacionamento de "proprietário", que é atendido pelo proprietário do recurso. Outros relacionamentos podem incluir destinatários de documentos e fornecedores de entradas do catálogo. Esses relacionamentos de recursos são importantes para determinar quem pode executar determinadas ações sobre uma instância específica de um recurso. Por exemplo, o criador de um documento pode não ter permissão para exclui-lo, mas talvez um auditor tenha. De modo semelhante, um revisor pode ter apenas permissão para ler e aprovar um documento, mas não para encaminhá-lo ou executar outras operações nele.
Ação e Grupos de Ações
Ações são um conjunto de operações que os usuários podem executar sobre recursos. Elas são geralmente mapeadas para comandos do WebSphere Commerce. Se o grupo de recursos for um objeto de negócios como um contrato, a ação pode ser "criar" ou "aprovar". No WebSphere Commerce, quando são aplicados comandos a outros recursos, eles tornam-se ações. Por exemplo, o comando UserProfileUpdate pode ser aplicado como uma ação ao perfil do usuário.
Grupos de ações são grupos de ações relacionadas. Um exemplo de um grupo de ações é o grupo AccountManage que inclui os seguintes comandos:
- com.ibm.commerce.account.commands.AccountDeleteCmd
- com.ibm.commerce.account.commands.AccountSaveCmd
Um Administrador de Site pode executar as seguintes tarefas no Administration Console:
Para obter mais informações sobre o controle de acesso e tarefas feitas fora do Administration Console, consulte WebSphere Commerce Security Guide.