セキュリティーの提供

Virtual member manager は、構成の変更とランタイム API の使用の両方に対して役割ベースのセキュリティーを提供します。

セキュリティーの構成

Virtual member manager の構成は、WebSphere 管理コンソール、wsadmin コマンド、およびスクリプト記述で変更できます。 WebSphere Application Server の管理者の役割を割り当てられたユーザーのみが、コンソールから、あるいはコマンドを使用して構成 を変更することができます。 wsadmin コマンドは、WebSphere Application Server のインストール中にローカル・モードで使用することもできます。

実行時のセキュリティー

ランタイム操作中、 デフォルトでは、Virtual member manager は以下の 2 つの役割のみをサポートします。
WebSphere Application Server 管理者
WebSphere Application Server の管理者として認証されるユーザーは、Virtual member manager オブジェクトのいずれに対してもすべての Virtual member manager の機能を実行することができます。
アカウント所有者の役割
アカウント所有者の 役割は、Virtual member manager 固有のものであって、J2EE の役割ではありません。 認証されたユーザーがレジストリー・ オブジェクトの所有者である場合には、そのユーザーにはプログラマチックにアカウント所有者の役割が割り当てられます。 認証された ユーザーは、所持するパスワードを変更し、自身のみを検索することができます。 このユーザーは、その他の変更を許可されず、 リポジトリーに入っているどのようなオブジェクトの検索、表示、作成、または削除もできません。
Account-Owner-Role
	SEARCH Entity/RolePlayer/Party/LoginAccount/*
	UPDATE Entity/RolePlayer/Party/LoginAccount/*
	WRITE Entity/RolePlayer/Party/LoginAccount/* sensitive
	READ Entity/RolePlayer/Party/LoginAccount/* unchecked
	WRITE Entity/RolePlayer/Party/LoginAccount/* unchecked

All Authenticated Users
	Account-Owner-Role {Condition: OWNERSHIP == true}
WebSphere Application Server が認証のために必要とする Virtual member manager の実行時 API には、アクセス制御は適用されません。 その効果は次の 2 つになります。
  • WebSphere Application Server 認証中の、WebSphere Application Server セキュリティー と Virtual member manager との間の循環依存関係の防止
  • 迅速な認証の提供

統合リポジトリー管理権限割り当てのための役割へのユーザーおよびグループのマッピング

WebSphere Application Server 管理者役割が割り当てられていないユーザーが Virtual member manager のメソッドにアクセスできるようにするには、ユーザーまたはグループに、以下に示す事前定義の Virtual member manager 役割の 1 つを割り当てます。

事前定義の Virtual member manager 役割と対応するアクセス権を次の表に示します。

表 1. Virtual member manager の事前定義の役割とアクセス権
役割名 メソッド・アクセス権
IdMgrAdmin (WAS 管理者と同じ権限)
create
update
delete
search
get
createSchema
getSchema
IdMgrWriter

update
delete
search
get の作成
IdMgrReader
検索
get

ユーザーまたはグループは 1 つの役割にのみマップできます。 また、すべてのログイン・ユーザーを特定の役割にマップすることもできます。このようにマップするには、グループ ID ではなく値 ALLAUTHENTICATED を持つ特殊オブジェクトを使用します。 グループ・メンバーシップによって複数の役割が 1 人のユーザーに付与されている場合、役割の適用順序に特定の優先順位はありません。 ただし、各役割はその他の役割のサブセットまたはスーパーセットであるため、競合する役割はありません。 例えば IdMgrWriter には IdMgrReader アクセス権と IdMgrWriter アクセス権が含まれており、IdMgrAdmin には IdMgrReader、IdMgrWriter、および IdMgrAdmin アクセス権が含まれています。

これには以下の制限があります。
  • 各役割に割り当てられているアクセス権はハードコーディングされており、変更またはカスタマイズすることはできません。
  • 属性のグループ・レベル・アクセス・チェックは行われません。
  • ユーザーには、割り当てられている役割に基づいて、すべての属性および属性グループに関連するアクセス権がすべて付与されています。

定義済みの仮想メンバーマネージャーロールにユーザーまたはグループを割り当てる方法については、 mapIdMgrUserToRole, mapIdMgrGroupToRole,removeIdMgrUsersFromRole,removeIdMgrGroupsFromRole,listIdMgrUsersForRoles,そしてlistIdMgrGroupsForRolesトピック内のコマンド、 IdMgrConfig指揮グループAdminTask物体の中にWebSphere Application Serverドキュメンテーション。

注:

LDAP タイプがカスタムとして定義されていて、外部 ID がカスタマイズされていない LDAP ユーザーのアクセス権を追加する場合 (カスタム LDAP タイプに使用される外部 ID は識別名)、ロールをユーザーに追加するときに短縮ユーザー名を使用するか (janeDoe 対 cn=JaneDoe,o=ibm)、または wsadmin コマンドの setIdMgrCustomProperty を使用してカスタム・プロパティー returnUniqueNameInNormalCaseIfExtIdMapToDN を有効にします。 または、外部 ID を、LDAP サーバーに適した UUID に設定します。 例えば、AdminTask.addIdMgrLDAPExternalIdAttr ('[-id myLDAP-name ibm-entryUUID]') などです。