Средства управления пользователями
Сервер портала имеет в своем составе функции для заведения пользователей портала и управления их правами доступа. Подсистема работы с пользователями и группами включает веб-страницы, на которых пользователи могут регистрироваться и работать со своей учетной записью, портлеты администрирования пользователей и групп, а также репозиторий, в котором хранятся все данные о пользователях портала. Эта подсистема предоставляет функции для создания, считывания и обновления данных о пользователях и группах в репозиторий, а также для удаления этой информации. В профиль пользователя записывается общая информация, включая имя и идентификатор пользователя, а также сведения о его интересах и предпочтениях, в том числе предпочитаемые темы новостей, используемые языки и т.д. Пользователь может быть членом одной или нескольких групп, а в состав групп могут входить другие группы.
Применяемый по умолчанию набор атрибутов профиля пользователя основан на схеме inetOrgPerson, которая поддерживается большинством каталогов LDAP. Репозиторий пользователя может состоять из нескольких источников данных. Однако по умолчанию этот репозиторий состоит из двух источников данных — комбинации сервера базы данных и сервера каталогов.
Аутентификация
Аутентификация представляет собой процесс идентификации пользователя.
Сервер портала выполняет аутентификацию на основе формуляров. Такой тип аутентификации означает, что при попытке пользователя получить доступ к порталу на экране автоматически появляется формуляр HTML, в котором нужно ввести идентификатор пользователя и пароль. Сервер портала отправляет серверу приложений запрос на подтверждение аутентификационной информации, что выполняется посредством сравнения данных запроса с информацией в реестре пользователей LDAP.
Единая регистрация
Сервер портала обеспечивает полноценную поддержку единой регистрации (Single Sign-On — SSO). Пользователи предпочитают один раз войти в систему, после чего информация об их полномочиях должна быть известна во всех разделах сервера портала. В резуль-
тате им не приходится многократно вводить свои идентификационные данные при попытке доступа к разным приложениям портала.
Сервер портала поддерживает системы единой регистрации, используя для этого сервер WebSphere Application Server, а также аутен-тификационные прокси. Это означает, что пользователю придется только один раз ввести свои идентификационные данные для того, чтобы получить доступ ко всем корпоративным приложениям, установленным в рамках одной системы единой регистрации.
Для поддержки единой регистрации сервер WebSphere Application Server использует LTPA-маркеры (Lightweight Third Party Authentication). После того как пользователь проходит процедуру аутентификации, сервер портала создает LTPA-cookie единой регистрации, который содержит аутентифицированные полномочия пользователя. Способ шифрации cookie согласуется с форматом, используемым сервером WebSphere Application Server, и может быть декодирован всеми серверами приложений в общем домене (при условии, что все они имеют одинаковый ключ к шифру). Применение cookie позволяет серверам кластера получать доступ к информации о полномочиях пользователя без каких-либо дополнительных запросов, что позволяет не прерывать основную работу пользователя и создает ощущение единого рабочего пространства.
Авторизация
После идентификации пользователя сервер портала определяет — на основе списков управления доступом, хранящихся в локальной кэш-памяти, — страницы и портлеты, на которые пользователь имеет права доступа.
Сервер портала контролирует предоставление и соблюдение прав доступа к активам портала, включая страницы, портлеты и группы пользователей. Права доступа обслуживаются при помощи портлета администрирования Access Control. Этот портлет позволяет присваивать пользователям или группам пользователей роли в конкретных портлетах, страницах и документах. Роли — это наборы полномочий, такие, как возможность просмотра или изменения соответствующего элемента. Кроме того, пользователи могут делегировать свои права другим пользователям. После назначения роли на работу с контейнером (таким, как страница, которая содержит портлеты и другие страницы, или папка, содержащая вложенные папки и документы) пользователю или группе пользователей назначенная роль наследуется вниз по иерархии (кроме случая принудительного отключения наследования роли). Эта функция упрощает управление доступом в библиотеке документов или в области портала.
Предоставление доступа с правом просмотра страницы или области портала означает, что другие пользователи смогут увидеть эти
области портала после входа в систему. Предоставление доступа с правом просмотра портлета означает, что пользователи смогут добавлять этот портлет к своим страницам при выполнении настройки портала. Предоставление доступа с правом редактирования означает, что пользователь может задавать параметры портлета или изменять содержимое страницы. Права на управление означают, что пользователь может выполнять операции просмотра и редактирования, а также удалять портлет или страницу.
Предоставление доступа с правом просмотра к портлетам администрирования является эффективным способом для делегирования определенных задач управления другим пользователям портала. Эти пользователи могут просто добавлять портлеты администрирования к своим персональным страницам и затем выполнять любые задачи, для решения которых предназначены данные портлеты. В этом случае пользователю не обязательно предоставлять все привилегии управления, его также не требуется вводить в состав администраторов портала. Права управления таких пользователей ограничены только теми задачами, для решения которых предназначены авторизованные портлеты.
Дата добавления: 2017-04-20; просмотров: 518;