Средства управления пользователями

Сервер портала имеет в своем составе функции для заведения пользователей портала и управления их правами доступа. Подсисте­ма работы с пользователями и группами включает веб-страницы, на которых пользователи могут регистрироваться и работать со своей учетной записью, портлеты администрирования пользователей и групп, а также репозиторий, в котором хранятся все данные о поль­зователях портала. Эта подсистема предоставляет функции для со­здания, считывания и обновления данных о пользователях и группах в репозиторий, а также для удаления этой информации. В профиль пользователя записывается общая информация, включая имя и иден­тификатор пользователя, а также сведения о его интересах и пред­почтениях, в том числе предпочитаемые темы новостей, использу­емые языки и т.д. Пользователь может быть членом одной или не­скольких групп, а в состав групп могут входить другие группы.

Применяемый по умолчанию набор атрибутов профиля пользо­вателя основан на схеме inetOrgPerson, которая поддерживается боль­шинством каталогов LDAP. Репозиторий пользователя может состо­ять из нескольких источников данных. Однако по умолчанию этот репозиторий состоит из двух источников данных — комбинации сер­вера базы данных и сервера каталогов.

Аутентификация

Аутентификация представляет собой процесс идентификации пользователя.

Сервер портала выполняет аутентификацию на основе формуля­ров. Такой тип аутентификации означает, что при попытке пользо­вателя получить доступ к порталу на экране автоматически появля­ется формуляр HTML, в котором нужно ввести идентификатор поль­зователя и пароль. Сервер портала отправляет серверу приложений запрос на подтверждение аутентификационной информации, что выполняется посредством сравнения данных запроса с информаци­ей в реестре пользователей LDAP.

Единая регистрация

Сервер портала обеспечивает полноценную поддержку единой регистрации (Single Sign-On — SSO). Пользователи предпочитают один раз войти в систему, после чего информация об их полномочи­ях должна быть известна во всех разделах сервера портала. В резуль-

тате им не приходится многократно вводить свои идентификацион­ные данные при попытке доступа к разным приложениям портала.

Сервер портала поддерживает системы единой регистрации, ис­пользуя для этого сервер WebSphere Application Server, а также аутен-тификационные прокси. Это означает, что пользователю придется только один раз ввести свои идентификационные данные для того, чтобы получить доступ ко всем корпоративным приложениям, уста­новленным в рамках одной системы единой регистрации.

Для поддержки единой регистрации сервер WebSphere Application Server использует LTPA-маркеры (Lightweight Third Party Authentica­tion). После того как пользователь проходит процедуру аутентифи­кации, сервер портала создает LTPA-cookie единой регистрации, ко­торый содержит аутентифицированные полномочия пользователя. Способ шифрации cookie согласуется с форматом, используемым сервером WebSphere Application Server, и может быть декодирован все­ми серверами приложений в общем домене (при условии, что все они имеют одинаковый ключ к шифру). Применение cookie позволяет серверам кластера получать доступ к информации о полномочиях пользователя без каких-либо дополнительных запросов, что позво­ляет не прерывать основную работу пользователя и создает ощуще­ние единого рабочего пространства.

Авторизация

После идентификации пользователя сервер портала определяет — на основе списков управления доступом, хранящихся в локальной кэш-памяти, — страницы и портлеты, на которые пользователь име­ет права доступа.

Сервер портала контролирует предоставление и соблюдение прав доступа к активам портала, включая страницы, портлеты и группы пользователей. Права доступа обслуживаются при помощи портлета администрирования Access Control. Этот портлет позволяет присваи­вать пользователям или группам пользователей роли в конкретных портлетах, страницах и документах. Роли — это наборы полномочий, такие, как возможность просмотра или изменения соответствующего элемента. Кроме того, пользователи могут делегировать свои права другим пользователям. После назначения роли на работу с контей­нером (таким, как страница, которая содержит портлеты и другие страницы, или папка, содержащая вложенные папки и документы) пользователю или группе пользователей назначенная роль наследу­ется вниз по иерархии (кроме случая принудительного отключения наследования роли). Эта функция упрощает управление доступом в библиотеке документов или в области портала.

Предоставление доступа с правом просмотра страницы или обла­сти портала означает, что другие пользователи смогут увидеть эти

области портала после входа в систему. Предоставление доступа с правом просмотра портлета означает, что пользователи смогут добав­лять этот портлет к своим страницам при выполнении настройки портала. Предоставление доступа с правом редактирования означает, что пользователь может задавать параметры портлета или изменять содержимое страницы. Права на управление означают, что пользо­ватель может выполнять операции просмотра и редактирования, а также удалять портлет или страницу.

Предоставление доступа с правом просмотра к портлетам адми­нистрирования является эффективным способом для делегирования определенных задач управления другим пользователям портала. Эти пользователи могут просто добавлять портлеты администрирования к своим персональным страницам и затем выполнять любые задачи, для решения которых предназначены данные портлеты. В этом слу­чае пользователю не обязательно предоставлять все привилегии управления, его также не требуется вводить в состав администрато­ров портала. Права управления таких пользователей ограничены только теми задачами, для решения которых предназначены автори­зованные портлеты.