Personalización de la seguridad en WebSphere Application Server

Si la configuración predeterminada de la seguridad de WebSphere Application Security para Report Launcher for ClearQuest no se ajusta a sus necesidades, puede personalizar los valores actualizando el archivo del descriptor de despliegue de Report Launcher for ClearQuest. Después de actualizar el archivo, utilice el programa de utilidad wsadmin de WebSphere Application Server para aplicar los valores del descriptor de despliegue.

Acerca de esta tarea

Esta tarea solo es necesaria si desea personalizar los roles de seguridad predeterminados de WebSphere Application Server y la configuración definida para Report Launcher for ClearQuest.

Antes de personalizar la configuración de la seguridad, tenga en cuenta el comportamiento de la seguridad que está intentando obtener. Por ejemplo, ¿desea que todos los usuarios se autentiquen cuando inician Report Launcher? ¿Desea proporcionar derechos de acceso de informe diferentes a los diferentes usuarios o grupos? Revise la sección Valores de configuración de la seguridad de ejemplo como un punto de partida para actualizar la configuración.

Actualice el descriptor de despliegue de Report Launcher for ClearQuest para configurar la autenticación de clientes en WebSphere Application Server.

Procedimiento

  1. Copie el archivo web.xml del descriptor de despliegue de Report Launcher for ClearQuest en un directorio de trabajo y cambie el nombre del archivo. El archivo web.xml se encuentra en este directorio:
    Windows:
    cd %CLEARQUEST_HOME%\cqweb\cqwebprofile\installedApps\dfltCell\RationalClearQuestReportLauncher.ear\CQReportLauncher.war\WEB-INF\web.xml
    UNIX y Linux:
    cd $CLEARQUEST_HOME/cqweb/cqwebprofile/installedApps/dfltCell/RationalClearQuestReportLauncher.ear/CQReportLauncher.war/WEB-INF/web.xml
    Nota: El directorio de la celda predeterminado de WebSphere Application Server es dfltCell en las plataformas Windows, Unix y Linux. En la plataforma Solaris, el valor predeterminado es <srv>Node01Cell.
    Los pasos restantes de este procedimiento presuponen que ha cambiado el nombre del archivo web.xml que se ha copiado en el directorio de trabajo por el nombre launcher_web.xml.
  2. Actualice los elementos security-constraint y security-role para capturar los valores de seguridad deseados. No es necesario modificar el elemento login-config. Para obtener ideas acerca de las configuraciones posibles, consulte la sección Valores de configuración de la seguridad de ejemplo.
  3. Utilice el programa de utilidad wsadmin de WebSphere Application Server para aplicar los cambios del descriptor de despliegue:
    1. En un indicador de mandatos, cambie el directorio de trabajo donde reside el archivo launcher_web.xml.
      Windows:
      %CLEARQUEST_HOME%\cqweb\cqwebprofile\bin\wsadmin
      UNIX y Linux:
      $CLEARQUEST_HOME/cqweb/cqwebprofile/bin/wsadmin.sh
    2. Inicie el programa de utilidad wsadmin en la ventana del indicador de mandatos.
    3. Suministre las credenciales para el usuario administrativo WebSphere, si se le solicita.
    4. Ejecute estos mandatos para actualizar el descriptor de despliegue en WebSphere Application Server:
      wsadmin> $AdminApp update RationalClearQuestReportLauncher file {-operation
      update -contents launcher_web.xml -contenturi CQReportLauncher.war/WEBINF/
      web.xml}
      wsadmin> $AdminConfig save
      wsadmin>exit

Valores de configuración de la seguridad de ejemplo

Puede utilizar los siguientes ejemplos de código como punto de partida para configurar la seguridad de las aplicaciones de Report Launcher en su entorno.

Ejemplo 1: Necesita que todos los usuarios inicien la sesión en Report Launcher para acceder al informe
Este ejemplo de código muestra los valores de configuración de la seguridad para solicitar a todos los usuarios que inicien la sesión en Report Launcher for ClearQuest para acceder a las carpetas e informes configurados en el servidor de archivos de informes. Este ejemplo crea el rol de seguridad AuthenticatedUsers que incluye todos los usuarios autenticados. A continuación, una restricción de seguridad proporciona acceso a Report Launcher a todos los usuarios con el rol AuthenticatedUsers.
<security-constraint>
   <web-resource-collection>
<web-resource-name>authenticated</web-resource-name>
      <url-pattern>/*</url-pattern>
</web-resource-collection>
   <auth-constraint>
<role-name>AuthenticatedUsers</role-name>
   </auth-constraint>
   <user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>

<login-config>
   <auth-method>FORM</auth-method>
   <realm-name>default</realm-name>
   <form-login-config>
      <form-login-page>/Login.jsp</form-login-page>
      <form-error-page>/Login.jsp?error=true</form-error-page>
   </form-login-config>
</login-config>

<security-role>
   <role-name>AuthenticatedUsers</role-name>
</security-role>
Ejemplo 2: Restringir el acceso a la carpeta ManagementReports solamente a los jefes de departamento
Este ejemplo de código está basado en el ejemplo anterior. Establece un rol Managers adicional como un subconjunto del rol AuthenticatedUsers y crea una restricción de seguridad, de modo que solamente los usuarios con el rol Managers puedan acceder a la carpeta /reports/home/ManagementReports. Si un usuario no autorizado pulsa el enlace de la carpeta ManagementReports, Report Launcher inhabilita el enlace y añade a la entrada de la carpeta un bloqueo que indica que el contenido de la carpeta está protegido y no se puede acceder al mismo.
<security-constraint>
   <web-resource-collection>
<web-resource-name>authenticated</web-resource-name>
      <url-pattern>/*</url-pattern>
</web-resource-collection>
   <auth-constraint>
<role-name>AuthenticatedUsers</role-name>
   </auth-constraint>
   <user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>

<security-constraint>
   <web-resource-collection>
<web-resource-name>secure</web-resource-name>
<url-pattern>/reports/home/ManagementReports/*</url-pattern>
   </web-resource-collection>
   <auth-constraint>
<role-name>Managers</role-name>
   </auth-constraint>
   <user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>

<login-config>
   <auth-method>FORM</auth-method>
   <realm-name>default</realm-name>
   <form-login-config>
      <form-login-page>/Login.jsp</form-login-page>
      <form-error-page>/Login.jsp?error=true</form-error-page>
   </form-login-config>
</login-config>

<security-role>
   <role-name>AuthenticatedUsers</role-name>
</security-role>

<security-role>
   <role-name>Managers</role-name>
</security-role>