角色

角色为用户提供了对资源的任务许可权。例如,“编辑者”是一个角色,它使用户能够查看、修改并创建资源。角色以 Role@Resource 形式表示;例如,Editor@Portal Page

角色按层次结构进行组织。角色按层次结构进行组织。在层次结构中位于较高位置的角色通常可以获得子角色的许可权。例如,要安装 Web 模块,对虚拟资源 Web Modules 的编辑者角色 Editor@Web Modules 是为此操作分配的最小角色。“管理者”角色在层次结构中所处的位置高于“编辑者”角色。因此,“管理者”角色包含“编辑者”角色的许可权。Manager@Web Modules 角色还允许用户安装 Web 模块。

角色层次结构图。请参阅主题文本以获取有关此图形的信息。

下表描述对于每个角色所允许的不同操作:
表 1. 对于每个角色所允许的操作
角色 允许的操作
管理员 具有对资源的不受限制的访问权,这包括创建、配置和删除资源。管理员还可以更改资源上的访问控制设置;换句话说,授予其他人员对那些资源的访问权。
安全性管理员 创建和删除对资源的角色分配。“安全性管理员”角色允许用户充当该资源的委托管理员。“安全性管理员”可以根据“委托管理策略”主题将其部分特权委托给其他人员。例如,具有“安全性管理员”角色和“编辑者”角色的用户可以将“编辑者”角色分配给其他人员。针对某个资源的“安全性管理员”角色不会授予对该资源的查看或编辑访问权。
授权者 对主体(用户和组)指定授权者角色允许对它们授予角色。拥有在其他资源(如特定 Portlet)上的授权者角色并没有用。通过“安全性管理员”和“管理员”角色定义对那些主体授予的一组角色。例如,某个用户对 SalesTeam 用户组具有“授权者”角色,但对 Managers 用户组没有“授权者”角色。因此,此用户只能向 SalesTeam 用户组或该用户组的各个成员授予角色,而不能向 Managers 用户组授予角色。针对某个资源的“授权者”角色不会授予对该资源的直接访问权。“授权者”角色的用途是允许向用户或组授予角色。因此,针对非用户或用户组的资源或资源类型分配“授权者”角色不会向这些用户授予更多特权。
可以按用户身份运行(用户模拟) 启用“模拟”功能后,您可以为用户分配“可以按用户身份运行”角色。此角色允许用户以另一用户身份来查看页面、Portlet 和其他门户网站组件。支持专家可使用此角色进行故障诊断。
管理者 创建新资源以及配置和删除多个用户使用的现有资源。
编辑者 创建新资源和配置由多个用户使用的现有资源。
标记编辑者 更改静态门户网站页面的 HTML 源。
撰稿人 查看门户网站内容和创建新资源。“撰稿人”角色不包含编辑资源的许可权。您只能创建新资源。例如,向某个用户授予对“模板类别团队空间”的“撰稿人”角色。该用户无法修改类别本身,但可以在此类别中创建新模板。
注: 此角色只可用于以下资源:
  • 应用程序模板
  • 应用程序模板类别
  • 应用程序模板根
  • 策略
  • 所有与 IBM® Web Content Manager 相关的文档
特权用户 查看门户网站内容、定制 Portlet 和页面并创建新的专用页面。
用户 查看门户网站内容。例如,查看特定页面。
未分配角色 不能与资源交互。

应用程序角色

现存在有一个更高级别的角色概念,称为应用程序角色。应用程序角色由唯一名称进行标识,可以包含任意一组其他角色(例如 Editor@Market News pageEditor@Market News portlet)。可以使用应用程序角色捆绑附着的允许操作,从而简化访问控制管理。不同数据库域中具有同一名称的应用程序角色是相互关联的。可以将不同数据库域中的角色聚集在一个应用程序角色中。

继承

资源是层次结构的一部分。缺省情况下,层次结构中每个资源都继承其父资源的角色指定。此继承减少了管理工作。当您把组指定到父资源上的角色时,该组自动获取与所有子资源的允许操作相同的一组操作。

例如,假设用户 Mary 是销售 (Sales) 组的成员。通过向销售组授予 Editor@Market News Page 角色,您可以授予 Mary 对“市场新闻”页面及所有子页面的“编辑者”访问权。销售组的所有成员会隐式获得 Editor@Market News Page 角色。销售组的所有成员还将继承对资源层次结构中“市场新闻”页面的所有子页面的“编辑者”角色。因此,销售组的成员会自动继承角色 Editor@USA Market News Page

通过资源层次结构的继承可在任何级别被阻塞,以提供更细化的访问控制。

角色继承图表

角色分配

对用户注册表中包含的用户和组指定角色。角色可以由具有必要权限的某个人(如门户网站管理员)通过三种方式中的一种来指定:
  • 显式指定给个别用户
  • 通过组成员资格隐式指定。如果组有角色,那么组中所有成员都自动获取该角色。嵌套组(作为另一个组的成员的组)从其父组继承角色指定。
  • 通过父资源上的指定角色来继承。缺省情况下,除非使用了角色阻塞,否则针对资源的角色将自动应用于所有子资源。

用户和组在相同资源上可以有多个角色。例如,一个用户在特定页面上可以同时有编辑者和管理者角色。其中一个角色可能通过资源层次结构继承,而另一个可能是显式指定的。如果对同一资源的用户指定了同一层次结构中的两个角色,那么较高角色优先。例如,如果某个用户对资源具有“管理者”角色和“编辑者”角色,那么“管理者”角色优先于“编辑者”角色。

请仅在异常情况下对个别用户指定角色。在组中添加或除去用户可以减少角色映射数并简化维护。

所有权

每个资源可以具有一个专门的所有者。该资源所有者可以是单个用户或单个用户组。当用户创建资源(例如页面)时,此用户将自动成为该资源的初始所有者。对于非专用资源,所有权提供了一组与“管理者”角色相同的允许操作。对于专用资源,所有权提供了一组与“特权用户”角色相同的允许操作。此用户还可以删除资源。对于非专用资源和专用资源,这些操作包括删除资源的能力。专用资源只能由用户所有,不能由用户组所有。不能在专用资源上定义角色,并且无法继承资源所有权。

您可使用 XML 配置接口或资源许可权 Portlet 更改资源的所有者。

专用页面

专用页面只能由其所有者访问。特权用户(分配有 Privileged User 角色的用户)可以显式新建只有他们自己能访问的专用页面。另外,非专用页面上的特权用户可以使页面个性化,并在它下面创建新的专用页面。定制非专用页面通常会创建相应非专用页面的专用副本。特权用户对非专用页面所作的任何更改都不可供其他用户访问。

注: 专用页面不能受外部安全性管理器控制。对专用页面的访问控制总是由 WebSphere® Portal 内部控制。

遍历支持

PageURL Mapping 资源具有角色分配的用户将获得转至这些资源的隐式许可权。这些用户可以浏览上述资源的所有父资源。用户只看到这些资源的标题。除非向这些用户分配更多角色以授权他们对这些资源进行正常访问,否则他们将一直无法访问相应的资源内容。