在 Liberty 設定檔上配置應用程式授權

配置應用程式的授權是指確認使用者或群組是否屬於指定的角色,以及這個角色是否具備存取資源的專用權。

關於這項作業

Liberty 設定檔伺服器會從使用者登錄中擷取使用者和群組對映資訊,然後檢查應用程式的授權配置來判斷使用者或群組是否已指派給必要的角色之一。 之後,伺服器會讀取應用程式的部署描述子來判斷使用者或群組是否有存取資源的專用權。

程序

  1. server.xml 檔中啟用 appSecurity-2.0 Liberty 特性。
    例如:
        <featureManager>
            <feature>appSecurity-2.0</feature>
        </featureManager>
  2. 在 Liberty 設定檔伺服器上配置用來進行鑑別的使用者登錄。

    請參閱 在 Liberty 設定檔中鑑別使用者

  3. 確定您的應用程式部署描述子包含安全限制及其他安全相關資訊。
    註: 您也可以利用 Rational® Application Developer 之類的工具來建立部署描述子。
  4. 配置授權資訊,例如,使用者和群組至角色的對映。
    您可以利用下列方式來配置權限表:
    • 如果您有 EAR 檔,您可以新增授權配置定義到 ibm-application-bnd.xmlibm-application-bnd.xmi 檔中。
    • 如果您有獨立式 WAR 檔,您可以在 server.xml 檔中,新增權限表定義到各自的應用程式元素之下。 您可以利用 WebSphere® Application Server Developer Tools for Eclipse 來執行這個動作。
    附註:
    • 如果您有 EAR 檔,授權配置可能已存在。 在寫入現行規格的 EAR 檔中,這個資訊儲存在 ibm-application-bnd.xml 檔中;在舊的 EAR 檔中,這個資訊儲存在 ibm-application-bnd.xmi 檔中。
    • 如果您的 EAR 檔還沒有包含 ibm-application-bnd.xm* 檔,建立這個檔案不是一項簡易的作業,您可能偏好新增授權配置到 server.xml 檔中。
    • 如果 EAR 檔的授權配置已定義在 ibm-application-bnd.xm* 中,在 server.xml 檔中也有這項配置,兩份表格會合併起來。 如果有任何衝突,會使用 server.xml 檔中的資訊。
    • 如果您修改您的使用者登錄,請務必檢閱權限表中必要的變更。 比方說,如果您指定 access-id 元素,且變更登錄的網域範圍名稱,您也必須在 access-id 元素中變更網域範圍名稱。
    • 如果您在 server.xml 檔中指定了 application-bnd 元素,您的應用程式不能放在 dropins 資料夾中。 如果您將它保留在 dropins 資料夾中,您必須在 server.xml 檔中設定如下,將應用程式監視停用:
      <applicationMonitor dropinsEnabled="false"/>

    角色可以對映至使用者、群組或特殊主體。 特殊主體有兩個類型:EVERYONEALL_AUTHENTICATED_USERS。 當角色對映至 EVERYONE 特殊主體時,不具備任何安全性,因為每個人都可以存取,系統不會提示您輸入認證。 當角色對映至 EVERYONE_AUTHENTICATED_USERS 特殊主體時,應用程式伺服器已鑑別的任何使用者都可以存取受保護的資源。

    以下是在 server.xml 檔中配置使用者和群組至角色之對映的程式碼範例:
    <application type="war" id="myapp" name="myapp" location="${server.config.dir}/apps/myapp.war">
    	<application-bnd>
    				<security-role name="user">
    						<group name="students" />
    		</security-role>
    				<security-role name="admin">
    						<user name="gjones" />
                <group name="administrators" />
    		</security-role>
    				<security-role name="AllAuthenticated">
    						<special-subject type="ALL_AUTHENTICATED_USERS" />
    		</security-role>
    	</application-bnd>
    </application>

    在這個範例中,admin 角色對映至使用者 ID gjones 以及 administrators 群組中的所有使用者。 AllAuthenticatedRole 對映至特殊主體 ALL_AUTHENTICATED_USERS,換言之,只要提供了有效的鑑別認證,任何使用者都有存取權。


指示主題類型的圖示 作業主題

資訊中心條款 | 意見


「時間戳記」圖示 前次更新: 2015 年 6 月 22 日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_sec_rolebased
檔名:twlp_sec_rolebased.html