【文章內容簡介】 的信息。11 / 55第三章 WebSphere Portal 資源的訪問控制 訪問控制列表管理 portlet很多 portlet 都需要訪問那些要求某種形式的用戶認證的遠程應用程序。出于訪問門戶網站范圍之外的應用程序的需要，門戶網站服務器提供了憑證保險庫（credential vault）服務， portlet 可以用它來存儲登錄到應用程序的用戶的用戶標識和密碼（或者其它憑證） 。portlet 可以代表用戶使用這個用戶標識和密碼來訪問遠程系統(tǒng)。為了安全地存儲和檢索憑證，這個憑證保險庫就要支持本地數(shù)據(jù)庫存儲，或者支持 IBM Tivoli 的 Access Manager。圖 ：建立憑證保險庫。portlet 通過獲得一個 CredentialVaultPortletService 對象并調用它的 getCredential 方法來獲得憑證。對于所返回的憑證，有兩種選擇：12 / 55使用來自被動憑證（passive credential）的密碼或密鑰，用特定于應用程序的調用來傳送這些密碼或密鑰。使用被動憑證的 portlet 需要從憑證中提取出加密信息并與后端應用程序進行所有認證通信。 調用主動憑證（active credential）的認證方法。主動憑證對象向 portlet 隱藏了憑證的加密信息，沒有任何辦法可以從憑證中提取出這些信息。主動憑證提供另外的方法來執(zhí)行認證。 后一種情況允許 portlet 通過基本認證、SSL 客戶機認證、摘要認證或者 LTPA 來觸發(fā)遠程服務器的認證，而不必知道憑證值。使用主動憑證意味著門戶網站代表 portlet 進行認證，而且這個 portlet 可以只使用開放連接。盡管這可能并不適合于所有情況，但它卻是您應該首選的技術。為了安全地傳送數(shù)據(jù)，portlet 可以請求一個安全的會話（HTTPS） ，用來訪問 web 應用程序。 用戶和用戶群WebSphere Portal 提供了集中式的用戶和用戶組管理，您可以利用這種管理更好地定義門戶網站用戶和管理用戶訪問權。用戶可以注冊并管理他們自己的帳戶信息，而管理員則可以向用戶提供服務，同時對用戶進行管理。組成員資格提供了訪問對象或執(zhí)行請求所必需的許可權。用戶和組的所有只讀屬性都必須列出在 wp_root/shared/app/config/services/ 文件中。如果只讀屬性沒有在該文件中列出，那么就無法修改用戶和組。列出具有以下相應特性的屬性： 用戶屬性： 組屬性： 注：確保至少總是有一個用戶具有 Administrator@Portal 角色。如果沒有用戶有此角色，那么門戶網站將不能操作。管理用戶和組 portlet 允許您查看、創(chuàng)建和刪除用戶與用戶組。您還可更改組成員資格。13 / 55按照這些步驟訪問管理用戶和組 portlet： 1. 登錄到 WebSphere Portal。 2. 單擊管理。 3. 單擊訪問。 4. 單擊管理用戶和組。 訪問控制 rules在 WebSphere Portal 中，訪問控制基于角色。一個角色把一組許可權與特定 WebSphere Portal 資源組合在一起。此組許可權稱為角色類型。角色以 RoleType@Resource 的形式表示。例如，Editor 角色類型與 Market News Page 組合就產生角色 Editor@Market News Page。 確保總是有至少一個用戶有 Administrator@Portal 角色。如果沒有用戶有此角色，則門戶網站將不可操作。下表描述 WebSphere Portal 角色類型。 角色類型 許可權Administrator在資源上的無限制訪問。這包括創(chuàng)建、配置和刪除資源。管理員還可更改訪問控制配置。Security Administrator創(chuàng)建和刪除在資源上的角色指定。資源上的 Security Administrator 角色允許您把您對其至少有 Delegator 角色類型的主體指定到該資源上的角色，前提是您也有在該資源上的必要角色類型。例如，為了把主體指定到資源上的角色，您必須至少有 Delegator@Principal + Security_Administrator@Resource + RoleType@Resource 角色。沒有對資源的訪問權。Delegator把主體（用戶和組）指定到資源上的角色，您對這些資源至少有 Security Administrator 角色和其它相應的角色類型。例如，為了把主體指定到資源上的角色，您必須至少有 Delegator@Principal + 14 / 55Security_Administrator@Resource + RoleType@Resource 角色。應該把 Delegator 角色指定到主體或虛擬資源上。擁有在其它資源（如特定 portlet）上的 Delegator 角色并沒有用。沒有對資源的訪問權。Manager 創(chuàng)建新資源以及配置和刪除多個用戶使用的現(xiàn)有資源。Editor 創(chuàng)建新資源和配置由多個用戶使用的現(xiàn)有資源。Privileged user查看門戶網站內容，個性化 portlet 和頁面，以及創(chuàng)建新的專用頁面。User 查看門戶網站內容。例如，查看特定頁面。未指定角色 無法與資源交互。 角色層次結構如下圖所示，角色在層次結構中組織。每個角色類型都包含層次結構中直屬其下的角色類型中包含的所有許可權。例如，Privileged User 和 Editor 可以做任何 User 能做的事。 Manager 可以做任何 Editor 和 User 能做的事。15 / 55 用戶和用戶組對用戶注冊表中包含的用戶和組指定角色?？梢杂萌N方法中任一種指定角色： ? 由有必要權限的人（如門戶網站管理員）顯式指定。 ? 通過組成員資格隱式指定。如果組有角色，則組中所有成員都自動獲取該角色。嵌套組（作為另一個組的成員的組）從其父組繼承角色指定。 ? 通過在父資源上的角色指定繼承。資源上的角色缺省情況下自動應用到該資源的所有子。 用戶和組在相同資源上可以有多個角色。例如，一個用戶在特定頁面上可以同時有 Editor 和 Manager 角色。這些角色之一可通過資源層次結構繼承，而其它的可由門戶網站管理員顯式指定。請僅在例外情況下對個別用戶指定角色。把角色指定到組會減少角色映射數(shù)并簡化維護。 繼承WebSphere Portal 資源是層次結構的一部分。缺省情況下，層次結構中每個資源都繼承其父資源的角色指定。此繼承減少管理開銷。當您把組指定到父資源上的角色時，該組自動獲取所有子資源的相同角色。 例如，假設用戶 Mary 是 Sales 組的成員。您可通過對 Sales 組授予 Editor@Market News Page 角色，給予 Mary 對 Market News Page 和此頁面下所有頁面的 Editor 訪問權。Sales 組的所有成員都隱式地獲取 Editor@Market News page 角色。Sales 組的所有成員都將繼承在資源層次結構中 Market News page 下所有頁面的 Editor 角色類型。因此， Sales 組的成員自動繼承角色 Editor@USA Market News Page。 通過資源層次結構的繼承可在任何級別被阻塞，以提供更細化的訪問控制。 16 / 55當外部化資源時繼承行為會更改。如果外部化一個資源，而其父資源保持內部化，則該外部資源不再從內部化的父資源繼承角色指定。外部化的資源僅可： ? 從其它外部資源繼承角色指定 ? 把角色指定傳播到其它外部資源 內部化的資源不能從外部化的資源繼承角色指定或把角色指定傳播到外部化資源。 角色阻塞角色阻塞阻止通過資源層次結構的繼承。存在兩種角色阻塞： ? 繼承阻塞：阻止資源從父資源獲取角色指定?？蓪⒋讼胂鬄樵谫Y源上插一塊板。? 傳播阻塞：阻止資源把角色指定分布到子資源?？蓪⒋讼胂鬄樵谫Y源下插一塊板。角色阻塞與特定資源和特定角色類型相關。例如，在 Editor 角色類型和 Europe Market News page 上的繼承阻塞確保 Europe Market News page 不從其父資源 Market News page 繼承任何 Editor 角色。此角色阻塞不影響其它角色類型的繼承。例如，仍繼承 Manager 角色。因此，所有有 Manager@Market 17 / 55News Page 角色的用戶都繼承 Manager@Europe Market News page 角色，除非存在另一個用于 Manager 角色類型的角色阻塞。 角色阻塞不能用于阻止 Administrator 和 Security Administrator 角色類型的繼承。例如，如果 Mary 有 Administrator@Market News Page 角色，而 USA Market News Page 是 Market News Page 的子，則 Mary 自動獲得 Administrator@USA Market News Page 角色。不能用繼承或傳播阻塞阻塞 Administrator@USA Market News Page 角色。 對于以下類型的資源，自動阻塞所有角色類型（包括 Administrator 和 Security Adminstrator 角色）： ? 專用頁面 ? 有內部父資源的外部化資源 ? 有外部父資源的內部資源 例如，如果 Market News page 由 WebSphere Portal 訪問控制內部控制，而 USA Market News Page 由 Tivoli Access Manager 外部控制，則 USA Market News Page 不繼承 Market News Page 上的任何角色。因此，如果 Mary 有角色 Editor@Market News page，則她不會自動獲取角色 Editor@USA Market News Page，因為 USA Market News page 是外部受管的。如果 Market News page 和 USA Market News page 都是外部受管的（或都是內部受管的） ，則 Mary 繼承角色 Editor@USA Marker News page，除非使用了角色阻塞。 訪問控制 permission 類型 給予用戶對門戶網站的完全訪問給予用戶 Administrator@Portal 角色。Administrator@Portal 角色允許對除其它用戶的專用頁面外所有門戶網站資源進行不受限制的訪問。 用該兩種方法之一賦予用戶此角色： ? 把用戶添加到有 Administrator@Portal 角色的組。wpsadmins 用戶組18 / 55在安裝期間自動接收 Administrator@Portal 角色。使用“ 管理用戶和組”portlet 將用戶指定到此組。 ? 顯式地把 Administrator@Portal 角色指定給特定用戶。使用“資源許可權”portlet 或“ 用戶和組許可權”portlet 給予用戶此角色。 允許用戶使用“管理應用程序 portlet”來管理 portlet 應用程序假設 Mary 需要管理特定的 portlet 應用程序。她必須使用 “管理應用程序”portlet 來這樣做。賦予 Mary 下列角色： ? User@Web_Module：此角色允許 Mary 查看包含在 Web 模塊中的信息并使用“管理應用程序 ”portlet 瀏覽包含在此 Web 模塊中的 portlet 應用程序。您必須在每個 Mary 需要訪問的 Web 模塊上指定給她一個 User 角色。 ? Manager@Portlet_Application：此角色允許 Mary 管理 portlet 應用程序。您必須在每個 Mary 需要管理的 Portlet 應用程序上指定給她一個 Manager 角色。 有兩種方法賦予 Mary 這些角色： ? 把 Mary 添加到具有這些角色的組。使用“管理用戶和組”portlet 把她指定到此組。 ? 顯式地把角色指定給 Mary。使用“資源許可權 ”portlet 或“用戶和組許可權”portlet 來賦予她這些角色。 允許用戶訪問頁面及其子頁面的某些子集在相應的頁面上創(chuàng)建繼承阻塞。例如，給予 Sales 組 Editor@Market News Page 角色。這允許 Sales 組的成員編輯 Market News Page 及其所有當前和將來的子頁面，包括 Europe Market News Page 和 USA Market News Page。要允19 / 55許 Sales 組編輯 USA Market News Page 而不能編輯 Europe Market News Page，可在 Europe Market News Page 上插入 Editor 角色類型的繼承角色阻塞塊。使用資源許可權 portlet 或 XML 配置界面插入此角色阻塞。此角色阻塞阻止 Sales 組的成員（以及所有其它在 Europe Market News Page 的任何父頁面上有繼承的或隱式的 Editor 角色的用戶和組）編輯 Europe