资源
资源按层次结构组织。层次结构中的资源把它们的访问控制配置传播到其所有子资源。如果用户在“市场新闻”页面上有编辑者角色,那么该用户在“市场新闻”页面的子页面上也有编辑者角色。资源实例是特定资源,如单个 Portlet 或页面。每个资源实例都仅属于一种资源类型。例如,资源实例“市场新闻页面”将属于内容节点资源类型。
虚拟资源是一种独特的资源类型。虚拟资源有两种功能:
- 它们保护影响整个门户网站或门户网站中特定服务的敏感操作。例如,虚拟资源 XMLAccess 保护运行 XML 配置接口脚本的功能。
- 它们是所有资源实例的父资源。例如,Web 模块虚拟资源是所有 Web 模块实例的根节点。因此,在缺省情况下,在 Web 模块虚拟资源上的角色指定将通过继承传播到所有单个的 Web 模块资源。
资源数据存储在四个不同数据库域的其中一个域中。要使数据库备份和恢复保持一致,保护单个资源的访问控制数据存储在与资源数据相同的数据库域中。在这四个域的每个域中,受保护资源以单个资源树的形式存储在层次结构中。他们也称为受保护资源层次结构。
资源可以位于不同的域中,这取决于资源的类型。在 JCR 域中包含 JCR 节点时是排外的。在 Customization 域中包含专用资源表示的用户定制数据时是排外的。Community 域包含与协作应用程序相关的资源,而 Release 域包含所有剩下的资源。可以通过以下方式管理资源:
- Release 域的受保护资源可以通过访问控制管理 Portlet 和 XML 配置接口进行管理
- 策略资源存储在 JCR 域中,并且也可以通过访问控制管理 Portlet 和 XML 配置接口来管理
- Community 域中的资源只能通过特定于协作应用程序的管理 Portlet 进行管理。访问控制管理 Portlet 中不会显示此域中的资源
- Customization 域只拥有用户的专用资源。此域中不能指定角色,因此访问控制管理 Portlet 中不会显示此域中的资源
注: 角色继承永远不会越域边界进行,从而限制了继承范围。在 Release 域中的内容节点虚拟资源上为用户进行角色指定仅授予对此 Release 域中内容节点资源(页面)的访问权。
接下来是首先对 Release 域其次对 JCR 域的可用资源树的说明。
下图显示 JCR 域中的资源层次结构。这些资源与个性化、Web Content Manager 和资源策略相关。
注: 该图像表示 JCR 域中特定于访问控制的资源视图。它的目的不是显示资源在 JCR 域中如何存储和组织。
资源许可权继承应用于该层次结构和 Release 域。在 JCR 内容根节点上授予的许可权传播到该层次结构中的所有子代。使用策略、Web Content Manager 库、继承与传播角色阻塞以减少将许可权传播到层次结构中的子代。
针对 JCR 域中每种资源类型,提供不同的用户界面管理对其的访问控制。下表显示要到达 JCR 域中所存储每个资源的访问控制 Portlet,需要在 WebSphere®
Portal 中采用的路径:
- 访问控制管理用户界面 (UI):
- 单击管理菜单图标。然后,单击。
- 单击管理菜单图标。然后,单击。
- 个性化用户界面:
- Web 内容库用户界面:单击管理菜单图标。然后,单击。
- Web Content Manager 用户界面:
您可以对虚拟资源和资源实例指定角色。在虚拟资源上指定角色会减少管理访问控制所需的时间。缺省情况下,所有子资源都继承指定给父资源的角色。通过给特定资源实例指定角色,能够提供更细化的访问控制。您可以为特定资源实例指定角色以覆盖妨碍继承的角色阻塞。要获取更多角色的相关信息,请参阅“角色”主题。
以下信息描述虚拟资源。列出的资源可能有所不同,这取决于随 WebSphere Portal 一起安装的其他产品。
- 管理槽
- 所有管理保险库槽的根节点。它保护管理槽访问权,并因此保护对该槽所持有的凭证的访问权。
- 内容节点
- 所有页面、标签和外部 URL 的根节点。页面包含用于确定门户网站导航层次结构的内容。如果创建了新的顶级页面,那么该页面将自动成为页面虚拟资源的子资源。如果在现有页面下创建了新页面,那么该页面将自动成为现有页面的子页面。除非使用了角色阻塞,否则页面会从其父页面继承访问控制配置。
- 设计者部署服务
- 保护运行 IBM® Workplace Designer 自动部署功能的能力。
- 事件处理程序
- 保护事件处理程序的管理。此虚拟资源没有子资源。
- 外部访问控制
- 保护修改资源的访问控制配置,这些资源由安全管理器(如 Security Access Manager)外部控制。还保护外部化或内部化资源的能力。此虚拟资源没有子资源。
- 标记
- 保护控制门户网站标记的能力。此虚拟资源没有子资源。
- 门户网站
- 此资源是 Release 域中所有资源的根节点。缺省情况下,在此资源上的角色将通过继承来影响 Release 域的所有其他资源,除非使用角色阻塞。其他域中的资源(如模板和策略)不受此资源的角色映射的影响。
- 门户网站设置
- 保护可通过门户网站设置 Portlet 或 XML 配置接口修改的门户网站设置。此虚拟资源没有子资源。
- Portlet 应用程序
- 所有已安装的 Portlet 应用程序的根节点。Portlet 应用程序是 Portlet 的父容器。如果安装了新的 Web 模块,那么该模块中包含的应用程序会成为 Portlet 应用程序虚拟资源的子资源。Portlet 应用程序中包含的 Portlet 是该 Portlet 应用程序的子节点。因而,在 Portlet 应用程序虚拟资源下存在包含 Portlet 应用程序和相应 Portlet 的两层层次结构。除非使用了角色阻塞,否则 Portlet 会从其父 Portlet 应用程序继承访问控制配置。
- PSE 源
- 所有搜索集合的根节点。如果创建新的搜索集合,它会自动成为此虚拟资源的子资源。除非使用角色阻塞,否则此资源的角色会影响所有定义的搜索集合。
- URL 映射上下文
- 所有 URL 映射上下文的根节点。URL 映射上下文是用户定义的映射到门户网站内容的 URL 空间。如果创建了新的顶级 URL 映射上下文,那么它将自动成为 URL 映射上下文虚拟资源的子资源。如果在现有上下文下创建了新的 URL 映射上下文,那么新的上下文将自动成为现有上下文的子上下文。除非使用了角色阻塞,否则 URL 映射上下文会从其父上下文继承访问控制配置。
- 用户组
- 所有用户组的根节点。门户网站中的每个用户组都从用户组虚拟资源继承其访问控制配置。在虚拟用户组上不可能创建角色阻塞。
- 用户自登记
- 保护自看管和用户登记设施(注册和编辑我的概要文件)。此虚拟资源没有子资源。
- 用户
- 此虚拟资源没有子资源。用户虚拟资源保护用于处理用户管理的敏感操作。例如:为了将用户添加到用户组,您必须具有 Security Administrator@Users 角色。用户是隐式受保护资源。用户不能单独受保护,而只能通过其组成员资格受保护。因此,在特定用户中不可能有指定的角色。而是在用户组中必须有指定的角色。因此,如果您在 Mary 所属的某个用户组中有指定的角色,那么可以编辑 Mary 的用户概要文件。
- VP URL Mappings
- 保护修改链接到虚拟门户网站的 URL 映射的能力。
- Web 模块
- 所有 Web 模块的根节点。Web 模块是 WebSphere Application Server 上安装的 Portlet WAR 文件。Web 模块可以包含多个 Portlet 应用程序。如果安装了新的 Web 模块,那么该模块会自动成为 Web 模块虚拟资源的子资源。除非使用了角色阻塞,否则此资源上的角色会影响所有子资源(所有安装的 Web 模块)。
- WSRP
- 此资源是虚拟资源 WSRP 导出和 WSRP 生产者的父资源。缺省情况下,WSRP 资源上的角色通过继承来影响其他两个虚拟 WSRP 资源和所有 WSRP 资源实例。如果它们之间没有角色阻塞,那么在 WSRP 资源上具有指定角色的用户对所有 WSRP 资源都有访问权。
- WSRP 导出
- 该虚拟资源控制用户能够提供和撤回作为 WSRP 服务的 Portlet 的能力。
- WSRP 生产者
- 此资源是所有已注册的生产者实例的根节点。除非使用角色阻塞,否则在门户网站中注册的每个生产者都从 WSRP 生产者虚拟资源继承其访问控制配置。
- XML 配置接口
- 保护运行 XML 配置接口脚本的功能。此虚拟资源没有子资源。
- ADMIN_SLOTS
- 这是所有包含系统凭证的共享管理凭证保险库槽的根节点。此节点用于控制修改和删除此类保险库槽以及检索其凭证所需的访问权。
- POLICY MAPPING CONTEXTS
- 将根节点标识到所有策略项。虚拟资源与策略映射无关。
- SERVER INFORMATION
- 保护用于此联合的远程服务器信息以及此 WebSphere Portal 服务器实例之间创建/修改/删除映射的能力。
- STEP UP AUTHENTICATION
- 保护用于修改各种资源(如 Portlet 或页面)与认证级别的绑定的能力
- TAGS
- 用户可以使用关键字对 Web 内容资源进行描述、分类或标注。
- RATINGS
- 用户可以将数字值指定给 Web 内容资源进行求值。
- THEME MANAGEMENT
- 用户可以更新和修改门户网站主题。