中国移动WebSpherePortal门户系统安全配置手册模板.doc

1、密 级：文档编号：项目代号：WebSpherePortal门户系统安全配置手册Version 1.1中国移动通信二零零四年十一月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限和文档关键关系1创建、修改、读取负责编制、修改、审核2同意负责本文档同意程序3标准化审核作为本项目标标准化责任人，负责对本文档进行标准化审核4读取5读取目 录第一章 WEBSPHERE PORTAL安全概述11.1介绍11.2工作原理11.3功效和定位2第二章3A(AUTHENTICATION,AUTHORIZATION,ADMINISTRATION)42.1身份认证(A

2、uthentication)42.2授权(Authorization)62.3安全管理(Administration)7第三章 WEBSPHERE PORTAL资源访问控制113.1访问控制列表管理portlet113.2用户和用户群123.3访问控制rules133.3.1角色层次结构143.3.2用户和用户组153.3.3继承153.3.4角色阻塞163.4访问控制permission类型183.4.1给用户对门户网站完全访问183.4.2许可用户使用“管理应用程序portlet”来管理portlet应用程序183.4.3许可用户访问页面及其子页面一些子集193.4.4许可用户访问页面上

3、portlet193.4.5许可用户访问页面，但不许可访问其子页面193.4.6许可用户查看和个性化页面及其全部子页面203.4.7许可用户把特定资源上角色指定给特定组组员203.5访问控制资源213.6 Permission授予22第四章 CREDENTIAL VAULT系统224.1Back-end 单点登陆224.2Credential Vault系统和slots254.2.1凭证保险库组织264.2.2保险库段264.2.3保险库槽284.2.4凭证对象284.2.5凭证保险库使用方案314.2.6凭证保险库样本324.3Credential Vault服务39第五章 使用SSL访问W

4、EBSPHERE PORTAL395.1本手册环境拓扑405.2建立SSL证书405.3HTTP Server设置445.4WebSphere Application Server设置455.5WebSphere Portal 设置475.6强制使用SSL48附录 术语表49第一章 WebSphere Portal安全概述1.1介绍WebSphere Portal 由用于构建和管理安全企业对企业（B2B）、企业对用户（B2C）和企业对雇员（B2E）门户网站中间件、应用程序（称为 portlet）和开发工具组成。门户网站是向用户提供对基于 Web 资源单点访问 Web 站点，措施是把这些资源聚集

5、在一个地方，而且仅要求用户登录到门户网站本身，而不是登录到她们使用每个 portlet。WebSphere Portal 能够将 Web 内容发送到启用 WAP 设备和 i-Mode 电话和多种 Web 浏览器。作为一个管理员，您能够定制 WebSphere Portal 来满足组织、用户和用户组需要。您能够修改门户网站外观和感觉来符合您组织标准并为用户和组定制页面从而和商务规则和用户概要文件相一致。用户（如业务合作伙伴、用户或雇员）可深入定制她们自己门户网站视图。用户能够向页面添加 portlet 并按自己意愿安排它们，和控制 portlet 颜色方案。经过在一处聚集 portlet 并授予

6、用户权限来定制其自己桌面，WebSphere Portal 为用户能够有效、满意地进行其业务提供方法。 1.2工作原理Portlet 是门户网站心脏。“portlet”这个词指一个小门户网站应用程序，常常在 Web 页面中被描绘成一个小盒子。portlet 是可重用组件，提供对应用程序、基于 Web 内容和其它资源访问。Web 页面、Web 服务、应用程序和联合内容提供可经过 portlet 来访问。企业能够创建它们自己 portlet，或在 IBM 和 IBM 业务伙伴创建 portlet 目录中选择。任何尤其 portlet 开发、布署、管理和显示独立于其它 portlet。管理员和最终用

7、户经过选择和排列 portlet 来创建个性化门户网站页面，结果就象图 1.1 中 Web 页面。图 1.1：一个经典门户网站页面门户网站服务器已经包含一组丰富标准 portlet，用于显示联合内容、进行 XML 转换、访问现有 Web 页面、Lotus Notes 和 Microsoft Exchange 生产应用程序、Sametime 即时消息传输和 Lotus QuickPlace 团体室。1.3功效和定位门户网站是 Web 应用程序简单统一访问点,不仅如此还提供了很多有价值附加功效，比如安全性、搜索、协作和工作流。门户网站提供了集成内容和应用，和统一协作工作环境。实际上，门户网站就是下

8、一代桌面，能够在 Web 上向多种用户机设备提供大量电子商务应用。完整门户网站处理方案应该让用户随时随地、安全、方便地访问完成她们任务所需全部东西。IBM 设想门户网站是延伸和用户体验（Reach and user experience）关键。也就是说，门户网站提供工具和用户界面，用于访问信息和应用程序，个性化管理和选择内容。IBM WebSphere Portal 是 WebSphere 软件平台一部分。该平台基础做三件事：1. 为多种用户、设备和定制选项提供信息访问 2. 业务步骤集成和自动化 3. 构建、连接和管理应用程序。 这三个功效区域把多个多样 WebSphere 软件组织成三类：

9、基础和工具用于构建、运行和布署应用程序。WebSphere Application Server、MQ 消息传输和采取最新技术开发工具组成平台坚固基础。基础和工具提供您所需因特网专业技术，使您能够构建和使用 Web 服务，把您连接到一个更大开发者和其它 WebSphere 用户技术小区。图 WebSphere 平台业务集成就是集成内部业务步骤，包含包含业务伙伴步骤。象 WebSphere Business Integrator 这么 WebSphere 产品便于您企业实现应用和业务步骤，包含供给链管理和现有步骤和 Web 集成。延伸和用户体验就是基于 Web 内容个性化并使它能让任何设备访问。

10、这些 WebSphere 产品改善了用户体验，为您用户、雇员、业务伙伴和远程分支办公室提供范围更广访问。WebSphere Portal 领导着 WebSphere 平台延伸和用户体验部分。它提供一个可扩展框架，用于和企业应用程序、内容、人员和步骤交互。自我服务特征让最终用户为门户网站定制和组织她们自己视图，管理她们自己档案，公布文档，和她们同事共享文档。WebSphere Portal 提供附加服务，比如单点登录、安全性、Web 内容公布、搜索、个性化、协作服务、企业应用程序集成、移动设备支持和站点分析。图 WebSphere Portal 体系结构第二章3A(authentication,

11、authorization,administration)2.1身份认证(Authentication)认证是建立用户标识过程。通常，门户网站服务器使用由 WebSphere Application Server提供认证服务。另一个选择是使用和应用程序服务器有信任关系第三方认证服务器（如 Tivoli Access Manager WebSeal 或 Netegrity SiteMinder）。门户网站服务器使用基于表单认证。基于表单认证意思是，当用户想访问某个门户网站时，将会出现一张 HTML 表单提醒她输入用户标识和密码，方便进行认证。门户网站服务器请求应用程序服务器对照轻量级目录访问协议

12、（Lightweight Directory Access Protocol（LDAP）用户注册表验证认证信息。通常企业级应用须使用WebSphere Application Server中轻量级第三方认证（Lightweight Third Party Authentication（LTPA）作为其认证机制，此认证机制必需搭配LDAP用户注册表。WebSphere Application Server 使用公共对象请求代理体系结构（Common Object Request Broker Architecture（CORBA）凭证来代表认证过用户及她们组组员资格。当用户试图访问受保护资源时，

13、应用程序服务器会拦截该请求，将它重定向到登录表单。登录表单会把用户标识和密码传输给门户网站，然后门户网站会请求应用程序服务器对用户进行认证。假如用户能够经过认证，那就会创建一张有效 CORBA 凭证，然后把一个 LTPA cookie 存放到用户机器上。要建立基于LTPA认证机制，开启WebSphere管理控制台，打开安全性中心界面，选择认证页签，选择LTPA认证方法，输入LTPA设置，选择LDAP用户注册表，输入LDAP设置，以下图2.2授权(Authorization)在确定了用户标识后，门户网站就查询当地高速缓存访问控制表，以确定哪些页面和 portlet 是许可该用户访问，为了更高安全

14、性要求必需对每个portlet进行访问控制。门户服务器对门户资产（包含页面、portlet、页面组和用户组）实施访问控制。访问控制表存放在门户网站管理数据库。您还能够在外部安全性管理器（如 IBM Tivoli Access Manager 或 Netegrity SiteMinder）中对特定资源访问控制进行管理。IBM Tivoli Access Manager 是一个用于电子商务和分布式应用程序健壮、安全策略管理工具。它可贵地处理了电子商务安全性难题（逐步增加费用,不停增加复杂性和在各平台之间统一安全性策略需求）。Access Manager 在常见安全性策略中结合了关键安全性技术，对降

15、低实现时间和管理复杂性全部有所帮助，从而降低了增强了安全性计算整体成本。WebSphere Portal Experience 产品中包含了 Access Manager。要了解更多信息，请访问 IBM Tivoli Access Manager Web 站点。访问许可权维护是经过使用 Access Control 管理 portlet 来完成。使用这个 portlet 来把查看、编辑和管理许可权授予个人用户或组用户，以使她们能够访问特定 portlet、页面或页面组。用户也能够将她们含有许可权委托给其它用户。图 3.3：管理门户网站中访问权请经过左边表单选择您想使用用户或组和门户网站资源。在

16、您提交该表单时，右边列表将被刷新以显示目前许可权。更新该列表以反应您想授予新许可权，然后保留您更改。授予对页面或页面组查看（view）访问权意味着其它用户在登录后将能够查阅那些页面组或页面。授予对 portlet 查看访问权意味着用户在定制她们门户网站体验时能够将这个 portlet 添加到她们页面中。授予编辑（edit）访问权意味着用户能够对 portlet 设置进行设置或更改页面内容。管理（manage）访问权意思是，用户能够实施查看操作和编辑操作，而且能够删除 portlet 或页面。相关访问控制深入信息可参考第3章相关内容。2.3安全管理(Administration)WebSpher

17、e经过设置管理角色决定哪些人有管理权限，要设置特定用户才含有管理权限，开启WebSphere管理控制台，打开安全性中心界面，选择管理角色页签，选择AdminRole进入设置界面，选中选择用户/组，选择需要用户或组，以下图WebSphere Portal默认使用IBM HTTP Server作为Web服务器，IBM HTTP Server配置更改能够采取手工方法也能够使用IBM Administration Server经过Web方法来配置，此时可使用“HTPASSWD”实用程序设置密码保护对管理服务器访问，比如：. htpasswd -cm confadmin.passwd root 设置ro

18、ot用户用来登录管理服务器。WebSphere认证机制采取了CORBA 凭证，其用户端ORB事件统计在was_root/logs/sas_client.log中，服务端ORB事件统计在was_root/logs/sas_server.log中，要查看这些安全事件纪录能够直接用编辑器打开这两个文件。用户和组管理能够由用户自己完成（“自助”）或由门户网站管理员来完成。门户网站服务器不仅包含用来更新用户和组信息管理 portlet，而且包含用来注册新用户表单（请参看图 3.1：自助登录页面）。您能够很轻易地修改注册过程和自助表单以包含新属性。您只要向表单中添加新数据输入域，然后将新属性名填在域标识中

19、就能够了。登录 servlet 会自动把新数据存放到对应用户属性中。WebSphere Portal InfoCenter 中有相关定制用户资源库实现、注册和自助页面和数据确定类方面更多信息。在很多环境中，我们全部期望能够对用户标识、凭证和许可权进行集中管理。门户网站服务器中包含部分用来定义门户用户和管理用户访问权功效程序。用户和组子系统中包含部分 Web 页面，用户能够经过这些页面注册和管理她们自己帐户信息，还包含部分用来管理用户帐户和组信息管理 portlet，另外还有一个用来存放相关门户用户全部信息资源库。用户和组子系统提供部分服务，用来创建、读取、更新和删除资源库中用户或组。用户概要文

20、件信息包含用户名和用户标识等常规信息，加上部分首选项信息，如感爱好新闻专题、首选语言等等。一个用户可能是一个或多个组组员，一个组能够包含其它组。图 3.1：自助登录页面用户概要文件属性缺省设置以 inetOrgPerson 模式为基础，多数 LDAP 目录全部支持这个模式。用户资源库可能由多个数据源组成。在缺省情况下，这个资源库由两个数据源组成：它由一个数据库和一个目录服务器组成。数据库可能是 DB2 或 Oracle 数据库。资源库支持多个目录产品中任何一个，包含 Netscape（iPlanet）Directory Server、Microsoft Active Directory、Lot

21、us Domino Name 和 Address Book 和 IBM SecureWay Directory Server。您能够在 wms.xml 文件中定义用户概要文件属性到 LDAP 对象类映射。这个文件指定多种数据资源库名称，并指定怎样遍历这些资源库，以检索用户和组信息。这些设置针对每个得到支持 LDAP 目录全部已经有不一样配置；假如您想尝试使用不被支持 LDAP 目录，那么就需要自行设置这些值。.DirectoryuserRDNname=uiduserMemberSubsystemAttributeName=logonIduserObjectClass=top;inetOrgPe

22、rsonorgRDNname=dcorgMemberSubsystemAttributeName=orgEntityNameorgObjectClass=top;domainorgUnitRDNname=cnorgUnitMemberSubsystemAttributeName=orgEntityNameorgUnitObjectClass=top;containergrpRDNname=cngrpMemberSubsystemAttributeName=memberGroupNamegrpObjectClass=top;groupOfUniqueNamesgrpMembershipAttri

23、buteName=uniqueMember文件 attributeMap.xml 指定每个属性怎样映射到 LDAP 目录或数据库具体细节。这个文件还包含相关每个属性元数据，比如属性数据类型、是否需要这个属性和属性是否能够有多个值之类信息。第三章 WebSphere Portal资源访问控制3.1访问控制列表管理portlet很多 portlet 全部需要访问那些要求某种形式用户认证远程应用程序。出于访问门户网站范围之外应用程序需要，门户网站服务器提供了凭证保险库（credential vault）服务，portlet 能够用它来存放登录到应用程序用户用户标识和密码（或其它凭证）。portlet

24、 能够代表用户使用这个用户标识和密码来访问远程系统。为了安全地存放和检索凭证，这个凭证保险库就要支持当地数据库存放，或支持 IBM Tivoli Access Manager。图 3.2：建立凭证保险库。portlet 经过取得一个 CredentialVaultPortletService 对象并调用它 getCredential 方法来取得凭证。对于所返回凭证，有两种选择：使用来自被动凭证（passive credential）密码或密钥，用特定于应用程序调用来传送这些密码或密钥。使用被动凭证 portlet 需要从凭证中提取出加密信息并和后端应用程序进行全部认证通信。 调用主动凭证（ac

25、tive credential）认证方法。主动凭证对象向 portlet 隐藏了凭证加密信息，没有任何措施能够从凭证中提取出这些信息。主动凭证提供另外方法来实施认证。 后一个情况许可 portlet 经过基础认证、SSL 用户机认证、摘要认证或 LTPA 来触发远程服务器认证，而无须知道凭证值。使用主动凭证意味着门户网站代表 portlet 进行认证，而且这个 portlet 能够只使用开放连接。尽管这可能并不适合于全部情况，但它却是您应该首选技术。为了安全地传送数据，portlet 能够请求一个安全会话（HTTPS），用来访问 web 应用程序。3.2用户和用户群WebSphere Port

26、al 提供了集中式用户和用户组管理，您能够利用这种管理愈加好地定义门户网站用户和管理用户访问权。用户能够注册并管理她们自己帐户信息，而管理员则能够向用户提供服务，同时对用户进行管理。组组员资格提供了访问对象或实施请求所必需许可权。用户和组全部只读属性全部必需列出在 /shared/app/config/services/PumaService.properties 文件中。假如只读属性没有在该文件中列出，那么就无法修改用户和组。列出含有以下对应特征属性： 用户属性：user.sync.remove.attributes 组属性：group.sync.remove.attributes 注：确保

27、最少总是有一个用户含有 AdministratorPortal 角色。假如没有用户有此角色，那么门户网站将不能操作。管理用户和组 portlet 许可您查看、创建和删除用户和用户组。您还可更改组组员资格。根据这些步骤访问管理用户和组 portlet： 1. 登录到 WebSphere Portal。 2. 单击管理。 3. 单击访问。 4. 单击管理用户和组。 3.3访问控制rules在 WebSphere Portal V5.0 中，访问控制基于角色。一个角色把一组许可权和特定 WebSphere Portal 资源组合在一起。此组许可权称为角色类型。角色以 RoleTypeResource

28、 形式表示。比如，Editor 角色类型和 Market News Page 组合就产生角色 EditorMarket News Page。 确保总是有最少一个用户有 AdministratorPortal 角色。假如没有用户有此角色，则门户网站将不可操作。下表描述 WebSphere Portal 角色类型。 角色类型许可权Administrator在资源上无限制访问。这包含创建、配置和删除资源。管理员还可更改访问控制配置。Security Administrator创建和删除在资源上角色指定。资源上 Security Administrator 角色许可您把您对其最少有 Delegator

29、 角色类型主体指定到该资源上角色，前提是您也有在该资源上必需角色类型。比如，为了把主体指定到资源上角色，您必需最少有 DelegatorPrincipal + Security_AdministratorResource + RoleTypeResource 角色。没有对资源访问权。Delegator把主体（用户和组）指定到资源上角色，您对这些资源最少有 Security Administrator 角色和其它对应角色类型。比如，为了把主体指定到资源上角色，您必需最少有 DelegatorPrincipal + Security_AdministratorResource + RoleType

30、Resource 角色。应该把 Delegator 角色指定到主体或虚拟资源上。拥有在其它资源（如特定 portlet）上 Delegator 角色并没有用。没有对资源访问权。Manager创建新资源和配置和删除多个用户使用现有资源。Editor创建新资源和配置由多个用户使用现有资源。Privileged user查看门户网站内容，个性化 portlet 和页面，和创建新专用页面。User查看门户网站内容。比如，查看特定页面。未指定角色无法和资源交互。3.3.1角色层次结构以下图所表示，角色在层次结构中组织。每个角色类型全部包含层次结构中直属其下角色类型中包含全部许可权。比如，Privileg

31、ed User 和 Editor 能够做任何 User 能做事。Manager 能够做任何 Editor 和 User 能做事。3.3.2用户和用户组对用户注册表中包含用户和组指定角色。能够用三种方法中任一个指定角色： l 由有必需权限人（如门户网站管理员）显式指定。 l 经过组组员资格隐式指定。假如组有角色，则组中全部组员全部自动获取该角色。嵌套组（作为另一个组组员组）从其父组继承角色指定。 l 经过在父资源上角色指定继承。资源上角色缺省情况下自动应用到该资源全部子。 用户和组在相同资源上能够有多个角色。比如，一个用户在特定页面上能够同时有 Editor 和 Manager 角色。这些角色之

32、一可经过资源层次结构继承，而其它可由门户网站管理员显式指定。请仅在例外情况下对部分用户指定角色。把角色指定到组会降低角色映射数并简化维护。 3.3.3继承WebSphere Portal 资源是层次结构一部分。缺省情况下，层次结构中每个资源全部继承其父资源角色指定。此继承降低管理开销。当您把组指定到父资源上角色时，该组自动获取全部子资源相同角色。 比如，假设用户 Mary 是 Sales 组组员。您可经过对 Sales 组授予 EditorMarket News Page 角色，给 Mary 对 Market News Page 和此页面下全部页面 Editor 访问权。Sales 组全部组员

33、全部隐式地获取 EditorMarket News page 角色。Sales 组全部组员全部将继承在资源层次结构中 Market News page 下全部页面 Editor 角色类型。所以，Sales 组组员自动继承角色 EditorUSA Market News Page。 经过资源层次结构继承可在任何等级被阻塞，以提供更细化访问控制。 当外部化资源时继承行为会更改。假如外部化一个资源，而其父资源保持内部化，则该外部资源不再从内部化父资源继承角色指定。外部化资源仅可： l 从其它外部资源继承角色指定 l 把角色指定传输到其它外部资源 内部化资源不能从外部化资源继承角色指定或把角色指定传输

34、到外部化资源。3.3.4角色阻塞角色阻塞阻止经过资源层次结构继承。存在两种角色阻塞： l 继承阻塞：阻止资源从父资源获取角色指定。可将此想象为在资源上插一块板。l 传输阻塞：阻止资源把角色指定分布到子资源。可将此想象为在资源下插一块板。角色阻塞和特定资源和特定角色类型相关。比如，在 Editor 角色类型和 Europe Market News page 上继承阻塞确保 Europe Market News page 不从其父资源 Market News page 继承任何 Editor 角色。此角色阻塞不影响其它角色类型继承。比如，仍继承 Manager 角色。所以，全部有 ManagerM

35、arket News Page 角色用户全部继承 ManagerEurope Market News page 角色，除非存在另一个用于 Manager 角色类型角色阻塞。 角色阻塞不能用于阻止 Administrator 和 Security Administrator 角色类型继承。比如，假如 Mary 有 AdministratorMarket News Page 角色，而 USA Market News Page 是 Market News Page 子，则 Mary 自动取得 AdministratorUSA Market News Page 角色。不能用继承或传输阻塞阻塞 Admi

36、nistratorUSA Market News Page 角色。 对于以下类型资源，自动阻塞全部角色类型（包含 Administrator 和 Security Adminstrator 角色）： l 专用页面 l 有内部父资源外部化资源 l 有外部父资源内部资源 比如，假如 Market News page 由 WebSphere Portal 访问控制内部控制，而 USA Market News Page 由 Tivoli Access Manager 外部控制，则 USA Market News Page 不继承 Market News Page 上任何角色。所以，假如 Mary 有角

37、色 EditorMarket News page，则她不会自动获取角色 EditorUSA Market News Page，因为 USA Market News page 是外部受管。假如 Market News page 和 USA Market News page 全部是外部受管（或全部是内部受管），则 Mary 继承角色 EditorUSA Marker News page，除非使用了角色阻塞。3.4访问控制permission类型3.4.1给用户对门户网站完全访问给用户 AdministratorPortal 角色。AdministratorPortal 角色许可对除其它用户专用页面

38、外全部门户网站资源进行不受限制访问。 用该两种方法之一给予用户此角色： l 把用户添加到有 AdministratorPortal 角色组。 用户组在安装期间自动接收 AdministratorPortal 角色。使用“管理用户和组”portlet 将用户指定到此组。 l 显式地把 AdministratorPortal 角色指定给特定用户。使用“资源许可权”portlet 或“用户和组许可权”portlet 给用户此角色。 3.4.2许可用户使用“管理应用程序portlet”来管理portlet应用程序假设 Mary 需要管理特定 portlet 应用程序。她必需使用“管理应用程序”port

39、let 来这么做。给予 Mary 下列角色： l User：此角色许可 Mary 查看包含在 Web 模块中信息并使用“管理应用程序”portlet 浏览包含在此 Web 模块中 portlet 应用程序。您必需在每个 Mary 需要访问 Web 模块上指定给她一个 User 角色。 l Manager：此角色许可 Mary 管理 portlet 应用程序。您必需在每个 Mary 需要管理 Portlet 应用程序上指定给她一个 Manager 角色。 有两种方法给予 Mary 这些角色： l 把 Mary 添加到含有这些角色组。使用“管理用户和组”portlet 把她指定到此组。 l 显式地

40、把角色指定给 Mary。使用“资源许可权”portlet 或“用户和组许可权”portlet 来给予她这些角色。 3.4.3许可用户访问页面及其子页面一些子集在对应页面上创建继承阻塞。比如，给 Sales 组 EditorMarket News Page 角色。这许可 Sales 组组员编辑 Market News Page 及其全部目前和未来子页面，包含 Europe Market News Page 和 USA Market News Page。要许可 Sales 组编辑 USA Market News Page 而不能编辑 Europe Market News Page，可在 Europ

41、e Market News Page 上插入 Editor 角色类型继承角色阻塞块。使用资源许可权 portlet 或 XML 配置界面插入此角色阻塞。此角色阻塞阻止 Sales 组组员（和全部其它在 Europe Market News Page 任何父页面上有继承或隐式 Editor 角色用户和组）编辑 Europe Market News Page 及其全部目前和未来子页面。 3.4.4许可用户访问页面上 portlet给该组在页面和 portlet 上角色指定。在页面上角色指定不包含对在页面上出现 portlet 访问权。使用资源许可权 portlet、用户和组许可权 portlet

42、或 XML 配置界面指定这些角色。 比如，假设在 Market News Page 上有 Market Targets portlet。给 Sales 组（或包含 Sales 组用户组） EditorMarket Targets Portlet 角色和 EditorMarket News Page 角色。 3.4.5许可用户访问页面，但不许可访问其子页面使用资源许可权 portlet 在对应页面上创建传输阻塞。比如，给 Sales 组 对 Market News Page Editor 访问权。要阻止此组编辑 USA Market News Page 和 Europe Market News

43、Page，可在 USA Market News Page 上创建 Editor 角色类型传输角色阻塞。此角色阻塞阻止 Sales 组（和全部其它有继承或隐式 EditorMarket News Page 角色用户和组）编辑 Market News Page 目前和未来子页面。 3.4.6许可用户查看和个性化页面及其全部子页面给该组在页面和该页面及其全部子页面上出现任何 portlet 上 Privileged User 角色。比如，给 Sales 组 Privileged UserMarket News Page 角色。这许可此组全部组员查看和个性化 Market News Page 及其全部

44、目前和未来子页面。然后给 Sales 组在 Market News Page 及其任何子页面上出现全部 portlet 和 portlet 应用程序上 Privileged User 角色。 给 Sales 组 Privileged User 角色替换 Editor 角色会许可组员创建作为 Market News Page 子新专用页面，但阻止组员创建新公用页面。前面示例中创建 Editor 角色阻塞不会以任何方法影响 Privileged User 角色。 3.4.7许可用户把特定资源上角色指定给特定组组员比如，要许可 Mary 把 Sales 组指定到角色 Privileged UserM

45、arket News Page，实施以下步骤之一： l 给 Mary Privileged UserMarket News Page、Security AdministratorMarket News Page 和 DelegatorSales Group 角色。这许可她把 Sales 组（或此组中部分组员）指定到 Privileged UserMarket News Page 角色或 UserMarket News Page 角色。Mary 不能把任何人指定到 EditorMarket News Page 角色，因为她不是 Market News Page 上 Editor。Mary 不能把

46、 Global Marketing 组指定到 Privileged UserMarket News Page 角色，除非 Global Marketing 组是 Sales 组组员。 l 给 Mary AdministratorPortal 角色。这许可她把任何用户或组指定到任何资源上任何角色。 注：要经过管理 portlet 管理访问控制，Mary 必需有许可她查看用户组许可权和资源许可权 portlet 和包含这些 portlet 页面角色指定。要经过 XML 配置界面管理访问控制，Mary 必需有许可她访问 XmlAccess 虚拟资源角色指定。3.5访问控制资源资源许可权 portlet 许可您： l 控制资源是否经过资源层次结构传输或继承其角色指定。 l 显式地把角色指定给特定用户或组。 l 把资源置于外部安全性管理器控制下，或让外部化资源回到 WebSphere Portal 控制下。 l 创建或删除在外部化资源上角色。 l 查看特定用户和组角色指定。 请参阅资源许可权