委托的访问控制管理

IBM® WebSphere® Portal 支持委托的访问控制管理。

委托管理和策略的描述

本主题描述访问控制管理和策略的委托授权,并给出委托管理策略的示例。

委托管理

WebSphere Portal 支持委托的访问控制管理。管理员是被授权通过更改角色指定和创建或删除角色阻塞来修改访问控制配置的用户。管理员可将其管理特权的特定子集授权给其他用户或组。这些用户或组随后可以把他们的特权的子集委托给其他用户和组。委托管理策略确定允许用户委托其特权的方式。

委托管理策略:

委托管理策略定义为了执行对访问控制配置的特定更改,哪些角色指定是必需的。

创建或删除角色指定的常规策略如下:在以下任一情况下,用户 U 可以为特定用户或组 UG 创建或删除由角色类型 RT 和资源 R 标识的角色的角色指定:
  • 满足以下所有条件:
    • U 有 Security Administrator@R 或 Administrator@R 角色
    • UR 上至少有一个类型为 RT 的角色
    • U 具有 Delegator@UG、Security Administrator@UG 或 Administrator@UG 角色。
  • U 具有 Administrator@Portal 或 Security Administrator@Portal 角色
例如,为了将某个组指定到某资源上类型为编辑者的角色,必须至少具有 Delegator@Group + Security_Administrator@Resource + Editor@Resource 角色。
注: Security Administrator@PortalAdministrator@Portal 角色允许用户对内部门户网站控制下的资源的访问控制配置进行任意更改。用户也需要 Administrator@External Access Control 角色或 Security Administrator@External Access Control 角色,以便更改安全性管理器(如 Security Access Manager)外部控制的资源的访问控制配置。
创建或删除角色阻塞的常规策略如下:在以下任一情况下,用户 U 可以创建或删除在特定资源 R 和角色类型 RT 上的角色阻塞:
  • 如果同时满足以下两个条件:
    • U 具有 Security Administrator@R Administrator@R 角色
    • UR 上至少有一个类型为 RT 的角色
  • 或者,如果 U 具有 Security Administrator@PortalAdministrator@Portal 角色。

委托管理策略的示例

Mary 需要将 Hans 从 Editor@Market News Page 角色中删除的权限。Hans 是 Marketing 组的成员。如果以下所有条件都为真,那么她可以执行此操作:

  • Mary 是 Security Administrator@Market News PageAdministrator@Market News Page。她可以通过显式角色指定、父资源上管理员或安全性管理员角色指定来获取该角色,或者如果她所属于有相应角色指定的组,那么她也可以获取该角色。
  • Mary 至少是 Editor@Marketing News Page,因为 Hans 将从编辑者角色类型中删除。
  • Mary 具有 Delegator@Marketing Group 角色。Mary 不能将任意用户或组从 Editor@Market News Page 角色中删除。她只能删除那些她具有其 Delegator 角色的用户和组。因为 Hans 是 Marketing 组的成员,因此 Mary 具有 Hans 的 Delegator 角色。