中国移动WebSpherePortal门户系统安全配置手册.docx

资源描述

密级：文档编号：项目代号： WebSpherePortal门户系统安全配置手册 Version 1.1 中国移动通信有限公司二零零四年十一月拟制: 审核: 批准: 会签: 标准化: 版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系 1 创建、修改、读取负责编制、修改、审核 2 批准负责本文档的批准程序 3 标准化审核作为本项目的标准化负责人，负责对本文档进行标准化审核 4 读取 5 读取目录第一章 WEBSPHERE PORTAL安全概述 1 1.1简介 1 1.2工作原理 1 1.3功能与定位 2 第二章3A(AUTHENTICATION,AUTHORIZATION,ADMINISTRATION) 4 2.1身份认证(Authentication) 4 2.2授权(Authorization) 6 2.3安全管理(Administration) 7 第三章 WEBSPHERE PORTAL资源的访问控制 11 3.1访问控制列表管理portlet 11 3.2用户和用户群 12 3.3访问控制rules 13 3.3.1角色层次结构 14 3.3.2用户和用户组 15 3.3.3继承 15 3.3.4角色阻塞 16 3.4访问控制permission类型 18 3.4.1给予用户对门户网站的完全访问 18 3.4.2允许用户使用“管理应用程序portlet”来管理portlet应用程序 18 3.4.3允许用户访问页面及其子页面的某些子集 19 3.4.4允许用户访问页面上的 portlet 19 3.4.5允许用户访问页面，但不允许访问其子页面 19 3.4.6允许用户查看和个性化页面及其所有子页面 20 3.4.7允许用户把特定资源上的角色指定给特定组的成员 20 3.5访问控制资源 21 3.6 Permission授予 22 第四章 CREDENTIAL VAULT系统 22 4.1Back-end 单点登陆 22 4.2Credential Vault系统和slots 25 4.2.1凭证保险库组织 26 4.2.2保险库段 26 4.2.3保险库槽 28 4.2.4凭证对象 28 4.2.5凭证保险库使用方案 31 4.2.6凭证保险库样本 32 4.3Credential Vault服务 39 第五章使用SSL访问WEBSPHERE PORTAL 39 5.1本手册环境拓扑 40 5.2建立SSL证书 40 5.3HTTP Server设置 44 5.4WebSphere Application Server设置 45 5.5WebSphere Portal 设置 47 5.6强制使用SSL 48 附录术语表 49 第一章 WebSphere Portal安全概述 1.1简介 WebSphere Portal 由用于构建和管理安全的企业对企业（B2B）、企业对客户（B2C）和企业对雇员（B2E）门户网站的中间件、应用程序（称为 portlet）和开发工具组成。门户网站是向用户提供对基于 Web 资源的单点访问的 Web 站点，办法是把这些资源聚集在一个地方，并且仅要求用户登录到门户网站本身，而不是登录到他们使用的每个 portlet。WebSphere Portal 可以将 Web 内容发送到启用 WAP 的设备和 i-Mode 电话以及各种 Web 浏览器。作为一个管理员，您可以定制 WebSphere Portal 来满足组织、用户和用户组的需要。您可以修改门户网站的外观和感觉来符合您的组织标准并为用户和组定制页面从而与商务规则和用户概要文件相一致。用户（如业务合作伙伴、客户或雇员）可进一步定制他们自己的门户网站视图。用户可以向页面添加 portlet 并按自己的意愿安排它们，以及控制 portlet 颜色方案。通过在一处聚集 portlet 并授予用户权限来定制其自己的桌面，WebSphere Portal 为用户能够有效、满意地进行其业务提供方法。 1.2工作原理 Portlet 是门户网站的心脏。“portlet”这个词指一个小的门户网站应用程序，常常在 Web 页面中被描绘成一个小盒子。portlet 是可重用的组件，提供对应用程序、基于 Web 的内容和其它资源的访问。Web 页面、Web 服务、应用程序和联合内容提供可通过 portlet 来访问。公司可以创建它们自己的 portlet，或在 IBM 和 IBM 业务伙伴创建的 portlet 目录中选择。任何特别的 portlet 的开发、部署、管理和显示独立于其它 portlet。管理员和最终用户通过选择和排列 portlet 来创建个性化的门户网站页面，结果就象图 1.1 中的 Web 页面。图 1.1：一个典型门户网站页面门户网站服务器已经包含一组丰富的标准 portlet，用于显示联合内容、进行 XML 转换、访问现有的 Web 页面、Lotus Notes 和 Microsoft Exchange 生产应用程序、Sametime 即时消息传递和 Lotus QuickPlace 团队室。 1.3功能与定位门户网站是 Web 应用程序的简单统一的访问点,不仅如此还提供了许多有价值的附加功能，例如安全性、搜索、协作和工作流。门户网站提供了集成的内容和应用，以及统一的协作工作环境。事实上，门户网站就是下一代的桌面，可以在 Web 上向各种客户机设备提供大量的电子商务应用。完整的门户网站解决方案应该让用户随时随地、安全、方便地访问完成他们任务所需的所有东西。IBM 设想门户网站是延伸与用户体验（Reach and user experience）的关键。也就是说，门户网站提供工具和用户界面，用于访问信息和应用程序，个性化管理和选择内容。 IBM WebSphere Portal 是 WebSphere 软件平台的一部分。该平台基本做三件事： 1. 为各种用户、设备和定制选项提供信息访问 2. 业务流程的集成和自动化 3. 构建、连接和管理应用程序。这三个功能区域把多种多样的 WebSphere 软件组织成三类：基础和工具用于构建、运行和部署应用程序。WebSphere Application Server、MQ 消息传递和采用最新技术的开发工具组成平台的坚固基础。基础和工具提供您所需的因特网专业技术，使您能够构建和使用 Web 服务，把您连接到一个更大的开发者和其他 WebSphere 用户的技术社区。图 WebSphere 平台业务集成就是集成内部业务流程，包括涉及业务伙伴的流程。象 WebSphere Business Integrator 这样的 WebSphere 产品便于您的公司实现应用和业务流程，包括供应链管理和现有的流程和 Web 的集成。延伸和用户体验就是基于 Web 的内容的个性化并使它能让任何设备访问。这些 WebSphere 产品改善了用户体验，为您的客户、雇员、业务伙伴和远程分支办公室提供范围更广的访问。 WebSphere Portal 领导着 WebSphere 平台的延伸和用户体验部分。它提供一个可扩展的框架，用于和企业应用程序、内容、人员和流程的交互。自我服务特性让最终用户为门户网站定制和组织他们自己的视图，管理他们自己的档案，发布文档，和他们的同事共享文档。WebSphere Portal 提供附加的服务，例如单点登录、安全性、Web 内容发布、搜索、个性化、协作服务、企业应用程序集成、移动设备的支持和站点分析。图 WebSphere Portal 体系结构第二章3A(authentication,authorization,administration) 2.1身份认证(Authentication) 认证是建立用户的标识的过程。通常，门户网站服务器使用由 WebSphere Application Server提供的认证服务。另一种选择是使用与应用程序服务器有信任关系的第三方认证服务器（如 Tivoli Access Manager WebSeal 或 Netegrity SiteMinder）。门户网站服务器使用基于表单的认证。基于表单的认证的意思是，当用户想访问某个门户网站时，将会出现一张 HTML 表单提示他输入用户标识和密码，以便进行认证。门户网站服务器请求应用程序服务器对照轻量级目录访问协议（Lightweight Directory Access Protocol（LDAP））用户注册表验证认证信息。通常企业级应用须使用WebSphere Application Server中的轻量级第三方认证（Lightweight Third Party Authentication（LTPA））作为其认证机制，此认证机制必需搭配LDAP用户注册表。WebSphere Application Server 使用公共对象请求代理体系结构（Common Object Request Broker Architecture（CORBA））凭证来代表认证过的用户及他们的组成员资格。当用户试图访问受保护的资源时，应用程序服务器会拦截该请求，将它重定向到登录表单。登录表单会把用户标识和密码传递给门户网站，然后门户网站会请求应用程序服务器对用户进行认证。如果用户能够通过认证，那就会创建一张有效的 CORBA 凭证，然后把一个 LTPA cookie 存储到用户的机器上。要建立基于LTPA的认证机制，启动[WebSphere管理控制台]，打开[安全性中心]界面，选择[认证]页签，选择[LTPA]认证方式，输入LTPA设置，选择[LDAP]用户注册表，输入LDAP设置，如下图 2.2授权(Authorization) 在确定了用户的标识后，门户网站就查询本地高速缓存的访问控制表，以确定哪些页面和 portlet 是允许该用户访问的，为了更高的安全性要求必需对每个portlet进行访问控制。门户服务器对门户资产（包括页面、portlet、页面组和用户组）实施访问控制。访问控制表存储在门户网站的管理数据库。您还可以在外部的安全性管理器（如 IBM Tivoli Access Manager 或 Netegrity SiteMinder）中对特定资源的访问控制进行管理。 IBM Tivoli Access Manager 是一个用于电子商务和分布式应用程序的健壮的、安全的策略管理工具。它可贵地解决了电子商务安全性的难题（逐步增加的费用,不断增长的复杂性以及在各平台之间统一安全性策略的需求）。Access Manager 在常用的安全性策略中结合了核心安全性技术，对减少实现时间和管理复杂性都有所帮助，从而降低了增强了安全性的计算的整体成本。WebSphere Portal Experience 产品中包括了 Access Manager。要了解更多信息，请访问 IBM Tivoli Access Manager Web 站点。访问许可权的维护是通过使用 Access Control 管理 portlet 来完成的。使用这个 portlet 来把查看、编辑和管理许可权授予个人用户或组用户，以使他们能够访问特定的 portlet、页面或页面组。用户也可以将他们具有的许可权委托给其他用户。图 3.3：管理门户网站中的访问权请通过左边的表单选择您想使用的用户或组以及门户网站资源。在您提交该表单时，右边的列表将被刷新以显示当前的许可权。更新该列表以反映您想授予的新许可权，然后保存您的更改。授予对页面或页面组的查看（view）访问权意味着其他用户在登录后将可以查阅那些页面组或页面。授予对 portlet 的查看访问权意味着用户在定制他们的门户网站体验时可以将这个 portlet 添加到他们的页面中。授予编辑（edit）访问权意味着用户可以对 portlet 设置进行设置或者更改页面的内容。管理（manage）访问权的意思是，用户可以执行查看操作和编辑操作，并且可以删除 portlet 或页面。有关访问控制进一步的信息可参考第3章相关内容。 2.3安全管理(Administration) WebSphere通过设置管理角色决定哪些人有管理权限，要设置特定的用户才具有管理权限，启动[WebSphere管理控制台]，打开[安全性中心]界面，选择[管理角色]页签，选择[AdminRole]进入设置界面，选中[选择用户/组]，选择需要的用户或组，如下图 WebSphere Portal默认使用IBM HTTP Server作为Web服务器，IBM HTTP Server配置的更改可以采用手工方式也可以使用IBM Administration Server通过Web方式来配置，此时可使用“HTPASSWD”实用程序设置密码保护对管理服务器的访问，例如：. htpasswd -cm conf\admin.passwd root 设置root用户用来登录管理服务器。 WebSphere认证机制采用了CORBA 凭证，其客户端ORB的事件记录在was_root/logs/sas_client.log中，服务端ORB的事件记录在was_root/logs/sas_server.log中，要查看这些安全事件纪录可以直接用编辑器打开这两个文件。用户和组的管理可以由用户自己完成（“自助”）或由门户网站管理员来完成。门户网站服务器不但包含用来更新用户和组信息的管理 portlet，而且包含用来注册新用户的表单（请参看图 3.1：自助登录页面）。您可以很容易地修改注册过程和自助表单以包含新属性。您只要向表单中添加新的数据输入域，然后将新属性名填在域标识中就可以了。登录 servlet 会自动把新数据存储到相应的用户属性中。WebSphere Portal InfoCenter 中有关于定制用户资源库的实现、注册和自助页面以及数据确认类方面的更多信息。在许多环境中，我们都希望能够对用户标识、凭证和许可权进行集中管理。门户网站服务器中包含一些用来定义门户用户和管理用户访问权的功能程序。用户和组子系统中包含一些 Web 页面，用户可以通过这些页面注册和管理他们自己的帐户信息，还包含一些用来管理用户帐户和组信息管理 portlet，另外还有一个用来存储有关门户用户所有信息的资源库。用户和组子系统提供一些服务，用来创建、读取、更新和删除资源库中的用户或组。用户概要文件信息包括用户名和用户标识等常规信息，加上一些首选项信息，如感兴趣的新闻主题、首选语言等等。一个用户可能是一个或多个组的成员，一个组可以包含其它组。图 3.1：自助登录页面用户概要文件属性的缺省设置以 inetOrgPerson 模式为基础，多数 LDAP 目录都支持这个模式。用户资源库可能由多个数据源组成。在缺省情况下，这个资源库由两个数据源组成：它由一个数据库和一个目录服务器组成。数据库可能是 DB2 或 Oracle 数据库。资源库支持几个目录产品中的任何一个，包括 Netscape（iPlanet）Directory Server、Microsoft Active Directory、Lotus Domino Name 和 Address Book 以及 IBM 的 SecureWay Directory Server。您可以在 wms.xml 文件中定义用户概要文件属性到 LDAP 对象类的映射。这个文件指定各种数据资源库的名称，并指定如何遍历这些资源库，以检索用户和组信息。这些设置针对每个得到支持的 LDAP 目录都已有不同的配置；如果您想尝试使用不被支持的 LDAP 目录，那么就需要自行设置这些值。 <MemberServiceProperties> <Database ... DatasourceName="@DATA_SOURCE@" /> ... <Directory userRDNname="uid" userMemberSubsystemAttributeName="logonId" userObjectClass="top;inetOrgPerson" … orgRDNname="dc" orgMemberSubsystemAttributeName="orgEntityName" orgObjectClass="top;domain" … orgUnitRDNname="cn" orgUnitMemberSubsystemAttributeName="orgEntityName" orgUnitObjectClass="top;container" … grpRDNname="cn" grpMemberSubsystemAttributeName="memberGroupName" grpObjectClass="top;groupOfUniqueNames" grpMembershipAttributeName="uniqueMember" … </MemberServiceProperties> 文件 attributeMap.xml 指定每个属性如何映射到 LDAP 目录或数据库的具体细节。这个文件还包含关于每个属性的元数据，例如属性的数据类型、是否需要这个属性以及属性是否可以有多个值之类的信息。第三章 WebSphere Portal资源的访问控制 3.1访问控制列表管理portlet 很多 portlet 都需要访问那些要求某种形式的用户认证的远程应用程序。出于访问门户网站范围之外的应用程序的需要，门户网站服务器提供了凭证保险库（credential vault）服务，portlet 可以用它来存储登录到应用程序的用户的用户标识和密码（或者其它凭证）。portlet 可以代表用户使用这个用户标识和密码来访问远程系统。为了安全地存储和检索凭证，这个凭证保险库就要支持本地数据库存储，或者支持 IBM Tivoli 的 Access Manager。图 3.2：建立凭证保险库。 portlet 通过获得一个 CredentialVaultPortletService 对象并调用它的 getCredential 方法来获得凭证。对于所返回的凭证，有两种选择：使用来自被动凭证（passive credential）的密码或密钥，用特定于应用程序的调用来传送这些密码或密钥。使用被动凭证的 portlet 需要从凭证中提取出加密信息并与后端应用程序进行所有认证通信。调用主动凭证（active credential）的认证方法。主动凭证对象向 portlet 隐藏了凭证的加密信息，没有任何办法可以从凭证中提取出这些信息。主动凭证提供另外的方法来执行认证。后一种情况允许 portlet 通过基本认证、SSL 客户机认证、摘要认证或者 LTPA 来触发远程服务器的认证，而不必知道凭证值。使用主动凭证意味着门户网站代表 portlet 进行认证，而且这个 portlet 可以只使用开放连接。尽管这可能并不适合于所有情况，但它却是您应该首选的技术。为了安全地传送数据，portlet 可以请求一个安全的会话（HTTPS），用来访问 web 应用程序。 3.2用户和用户群 WebSphere Portal 提供了集中式的用户和用户组管理，您可以利用这种管理更好地定义门户网站用户和管理用户访问权。用户可以注册并管理他们自己的帐户信息，而管理员则可以向用户提供服务，同时对用户进行管理。组成员资格提供了访问对象或执行请求所必需的许可权。用户和组的所有只读属性都必须列出在 <wp_root>/shared/app/config/services/PumaService.properties 文件中。如果只读属性没有在该文件中列出，那么就无法修改用户和组。列出具有以下相应特性的属性：用户属性：user.sync.remove.attributes 组属性：group.sync.remove.attributes 注：确保至少总是有一个用户具有 Administrator@Portal 角色。如果没有用户有此角色，那么门户网站将不能操作。管理用户和组 portlet 允许您查看、创建和删除用户与用户组。您还可更改组成员资格。按照这些步骤访问管理用户和组 portlet： 1. 登录到 WebSphere Portal。 2. 单击管理。 3. 单击访问。 4. 单击管理用户和组。 3.3访问控制rules 在 WebSphere Portal V5.0 中，访问控制基于角色。一个角色把一组许可权与特定 WebSphere Portal 资源组合在一起。此组许可权称为角色类型。角色以 RoleType@Resource 的形式表示。例如，Editor 角色类型与 Market News Page 组合就产生角色 Editor@Market News Page。确保总是有至少一个用户有 Administrator@Portal 角色。如果没有用户有此角色，则门户网站将不可操作。下表描述 WebSphere Portal 角色类型。角色类型许可权 Administrator 在资源上的无限制访问。这包括创建、配置和删除资源。管理员还可更改访问控制配置。 Security Administrator 创建和删除在资源上的角色指定。资源上的 Security Administrator 角色允许您把您对其至少有 Delegator 角色类型的主体指定到该资源上的角色，前提是您也有在该资源上的必要角色类型。例如，为了把主体指定到资源上的角色，您必须至少有 Delegator@Principal + Security_Administrator@Resource + RoleType@Resource 角色。没有对资源的访问权。 Delegator 把主体（用户和组）指定到资源上的角色，您对这些资源至少有 Security Administrator 角色和其它相应的角色类型。例如，为了把主体指定到资源上的角色，您必须至少有 Delegator@Principal + Security_Administrator@Resource + RoleType@Resource 角色。应该把 Delegator 角色指定到主体或虚拟资源上。拥有在其它资源（如特定 portlet）上的 Delegator 角色并没有用。没有对资源的访问权。 Manager 创建新资源以及配置和删除多个用户使用的现有资源。 Editor 创建新资源和配置由多个用户使用的现有资源。 Privileged user 查看门户网站内容，个性化 portlet 和页面，以及创建新的专用页面。 User 查看门户网站内容。例如，查看特定页面。未指定角色无法与资源交互。 3.3.1角色层次结构如下图所示，角色在层次结构中组织。每个角色类型都包含层次结构中直属其下的角色类型中包含的所有许可权。例如，Privileged User 和 Editor 可以做任何 User 能做的事。Manager 可以做任何 Editor 和 User 能做的事。 3.3.2用户和用户组对用户注册表中包含的用户和组指定角色。可以用三种方法中任一种指定角色： l 由有必要权限的人（如门户网站管理员）显式指定。 l 通过组成员资格隐式指定。如果组有角色，则组中所有成员都自动获取该角色。嵌套组（作为另一个组的成员的组）从其父组继承角色指定。 l 通过在父资源上的角色指定继承。资源上的角色缺省情况下自动应用到该资源的所有子。用户和组在相同资源上可以有多个角色。例如，一个用户在特定页面上可以同时有 Editor 和 Manager 角色。这些角色之一可通过资源层次结构继承，而其它的可由门户网站管理员显式指定。请仅在例外情况下对个别用户指定角色。把角色指定到组会减少角色映射数并简化维护。 3.3.3继承 WebSphere Portal 资源是层次结构的一部分。缺省情况下，层次结构中每个资源都继承其父资源的角色指定。此继承减少管理开销。当您把组指定到父资源上的角色时，该组自动获取所有子资源的相同角色。例如，假设用户 Mary 是 Sales 组的成员。您可通过对 Sales 组授予 Editor@Market News Page 角色，给予 Mary 对 Market News Page 和此页面下所有页面的 Editor 访问权。Sales 组的所有成员都隐式地获取 Editor@Market News page 角色。Sales 组的所有成员都将继承在资源层次结构中 Market News page 下所有页面的 Editor 角色类型。因此，Sales 组的成员自动继承角色 Editor@USA Market News Page。通过资源层次结构的继承可在任何级别被阻塞，以提供更细化的访问控制。当外部化资源时继承行为会更改。如果外部化一个资源，而其父资源保持内部化，则该外部资源不再从内部化的父资源继承角色指定。外部化的资源仅可： l 从其它外部资源继承角色指定 l 把角色指定传播到其它外部资源内部化的资源不能从外部化的资源继承角色指定或把角色指定传播到外部化资源。 3.3.4角色阻塞角色阻塞阻止通过资源层次结构的继承。存在两种角色阻塞： l 继承阻塞：阻止资源从父资源获取角色指定。可将此想象为在资源上插一块板。 l 传播阻塞：阻止资源把角色指定分布到子资源。可将此想象为在资源下插一块板。角色阻塞与特定资源和特定角色类型相关。例如，在 Editor 角色类型和 Europe Market News page 上的继承阻塞确保 Europe Market News page 不从其父资源 Market News page 继承任何 Editor 角色。此角色阻塞不影响其它角色类型的继承。例如，仍继承 Manager 角色。因此，所有有 Manager@Market News Page 角色的用户都继承 Manager@Europe Market News page 角色，除非存在另一个用于 Manager 角色类型的角色阻塞。角色阻塞不能用于阻止 Administrator 和 Security Administrator 角色类型的继承。例如，如果 Mary 有 Administrator@Market News Page 角色，而 USA Market News Page 是 Market News Page 的子，则 Mary 自动获得 Administrator@USA Market News Page 角色。不能用继承或传播阻塞阻塞 Administrator@USA Market News Page 角色。对于以下类型的资源，自动阻塞所有角色类型（包括 Administrator 和 Security Adminstrator 角色）： l 专用页面 l 有内部父资源的外部化资源 l 有外部父资源的内部资源例如，如果 Market News page 由 WebSphere Portal 访问控制内部控制，而 USA Market News Page 由 Tivoli Access Manager 外部控制，则 USA Market News Page 不继承 Market News Page 上的任何角色。因此，如果 Mary 有角色 Editor@Market News page，则她不会自动获取角色 Editor@USA Market News Page，因为 USA Market News page 是外部受管的。如果 Market News page 和 USA Market News page 都是外部受管的（或都是内部受管的），则 Mary 继承角色 Editor@USA Marker News page，除非使用了角色阻塞。 3.4访问控制permission类型 3.4.1给予用户对门户网站的完全访问给予用户 Administrator@Portal 角色。Administrator@Portal 角色允许对除其它用户的专用页面外所有门户网站资源进行不受限制的访问。用该两种方法之一赋予用户此角色： l 把用户添加到有 Administrator@Portal 角色的组。<wpsadmins> 用户组在安装期间自动接收 Administrator@Portal 角色。使用“管理用户和组”portlet 将用户指定到此组。 l 显式地把 Administrator@Portal 角色指定给特定用户。使用“资源许可权”portlet 或“用户和组许可权”portlet 给予用户此角色。 3.4.2允许用户使用“管理应用程序portlet”来管理portlet应用程序假设 Mary 需要管理特定的 portlet 应用程序。她必须使用“管理应用程序”portlet 来这样做。赋予 Mary 下列角色： l User@<Web_Module>：此角色允许 Mary 查看包含在 Web 模块中的信息并使用“管理应用程序”portlet 浏览包含在此 Web 模块中的 portlet 应用程序。您必须在每个 Mary 需要访问的 Web 模块上指定给她一个 User 角色。 l Manager@<Portlet_Application>：此角色允许 Mary 管理 portlet 应用程序。您必须在每个 Mary 需要管理的 Portlet 应用程序上指定给她一个 Manager 角色。有两种方法赋予 Mary 这些角色： l 把 Mary 添加到具有这些角色的组。使用“管理用户和组”portlet 把她指定到此组。 l 显式地把角色指定给 Mary。使用“资源许可权”portlet 或“用户和组许可权”portlet 来赋予她这些角色。 3.4.3允许用户访问页面及其子页面的某些子集在相应的页面上创建继承阻塞。例如，给予 Sales 组 Editor@Market News Page 角色。这允许 Sales 组的成员编辑 Market News Page 及其所有当前和将来的子页面，包括 Europe Market News Page 和 USA Market News Page。要允许 Sales 组编辑 USA Market News Page 而不能编辑 Europe Market News Page，可在 Europe Market News Page 上插入 Editor 角色类型的继承角色阻塞块。使用资源许可权 portlet 或 XML 配置界面插入此角色阻塞。此角色阻塞阻止 Sales 组的成员（以及所有其它在 Europe Market News Page 的任何父页面上有继承的或隐式的 Editor 角色的用户和组）编辑 Europe Market News Page 及其所有当前和未来的子页面。 3.4.4允许用户访问页面上的 portlet 给予该组在页面和 portlet 上的角色指定。在页面上的角色指定不包含对在页面上出现的 portlet 的访问权。使用资源许可权 portlet、用户和组许可权 portlet 或 XML 配置界面指定这些角色。例如，假设在 Market News Page 上有 Market Targets portlet。给予 Sales 组（或包含 Sales 组的用户组） Editor@Market Targets Portlet 角色和 Editor@Market News Page 角色。 3.4.5允许用户访问页面，但不允许访问其子页面使用资源许可权 portlet 在相应的页面上创建传播阻塞。例如，给予 Sales 组对 Market News Page 的 Editor 访问权。要阻止此组编辑 USA Market News Page 和 Europe Market News Page，可在 USA Market News Page 上创建 Editor 角色类型的传播角色阻塞。此角色阻塞阻止 Sales 组（以及所有其它有继承的或隐式的 Editor@Market News Page 角色的用户和组）编辑 Market News Page 的当前和未来的子页面。 3.4.6允许用户查看和个性化页面及其所有子页面给予该组在页面和该页面及其所有子页面上出现的任何 portlet 上的 Privileged User 角色。例如，给予 Sales 组 Privileged User@Market News Page 角色。这允许此组的所有成员查看和个性化 Market News Page 及其所有当前和将来的子页面。然后给予 Sales 组在 Market News Page 及其任何子页面上出现的所有 portlet 和 portlet 应用程序上的 Privileged User 角色。给予 Sales 组 Privileged User 角色取代 Editor 角色会允许成员创建作为 Market News Page 的子的新专用页面，但阻止成员创建新公用页面。前面示例中创建的 Editor 角色阻塞不会以任何方式影响 Privileged User 角色。 3.4.7允许用户把特定资源上的角色指定给特定组的成员例如，要允许 Mary 把 Sales 组指定到角色 Privileged User@Market News Page，执行以下步骤之一： l 给予 Mary Privileged User@Market News Page、Security Administrator@Market News Page 和 Delegator@Sales Group 角色。这允许她把 Sales 组（或此组中个别成员）指定到 Privileged User@Market News Page 角色或 User@Market News Page 角色。Mary 不能把任何人指定到 Editor@Market News Page 角色，因为她不是 Market News Page 上的 Editor。Mary 不能把 Global Marketing 组指定到 Privileged User@Market News Page 角色，除非 Global Marketing 组是 Sales 组的成员。 l 给予 Mary Administrator@Portal 角色。这允许她把任何用户或组指定到任何资源上的任何角色。注：要通过管理 portlet 管理访问

展开阅读全文