Member Manager

Member Manager - это компонент продукта WebSphere Portal, отвечающий за управление пользователями и группами. В Member Manager пользователи и группы называются "объектами". Member Manager хранит список атрибутов всех пользователей и групп системы, а также значения атрибутов отдельных пользователей и групп. Member Manager не назначает роли отдельным пользователям и группам. Пользователи могут выполнять различные роли в зависимости от их рода деятельности.

С Member Manager связаны следующие компоненты:

• Управление профайлами: Для управления профайлами пользователей и информацией о пользователях предназначен портлет Работа с пользователями.
• Хранилище пользователей: Хранилищем называется набор информации из профайлов пользователей, групп пользователей и подразделений организации. Зарегистрированный пользователь может выбрать свой идентификатор и пароль. Данные хранилища могут располагаться в базе данных или на сервере каталогов.
• Членство пользователя в группе: Member Manager позволяет добавить пользователя WebSphere Portal в ту или иную группу. Членство пользователя в группе учитывается при проверке прав доступа и выполнении других операций в портале.

Примечание: Member Manager не включает в себя функцию проверки прав доступа. Дополнительную информацию о стратегиях управления доступом можно найти в разделе Проверка прав доступа, справке по портлету Права доступа групп пользователей и справке по портлету Права доступа к ресурсам.

• Типы пользователей
• Группы пользователей
• Хранилище пользователей
• Идентификация
• Вложенные группы

Типы пользователей

Зарегистрированные пользователи: пользователи, зарегистрированные в системе. У зарегистрированного пользователя есть идентификатор и пароль, которые хранятся в реестре пользователей. Кроме того, система может запросить у зарегистрированного пользователя ту информацию, которая задается в профайле. Параметры, заданные зарегистрированным пользователем, сохраняются. Это означает, что если пользователь закроет сеанс, а затем снова откроет Web-сайт, то WebSphere Portal будет показан в соответствии с ранее заданными параметрами и настройками.

Группы пользователей

В общем случае группа - это произвольный набор пользователей. Обычно группа состоит из пользователей с общими интересами или пользователей, выполняющих определенную роль. Для создания групп применяется портлет Работа с группами пользователей.

Вы можете явно добавлять пользователей в группу и удалять пользователей из группы. Также поддерживаются вложенные группы. Информация о группах хранится в реестре пользователей, который представляет собой каталог LDAP или базу данных в зависимости от параметра, выбранного во время установки. Member Manager отправляет запрос серверу LDAP или базе данных во время поиска пользователя в группе.

Примечание: В среде IBM Tivoli Directory Server приложение Member Manager создает фиктивную запись о члене группы при создании этой группы. Это связано с тем, что IBM Tivoli Directory Server полностью поддерживает определение группы X.500, требующее наличие хотя бы одного члена группы. Фиктивную запись о члене группы можно настроить в файле правил преобразования атрибутов LDAP приложения Member Manager. За дополнительной информацией обратитесь к разделу "Преобразование атрибутов LDAP".

Хранилище пользователей

Хранилищем пользователей называется база данных, которая содержит информацию из профайлов пользователей и групп, а также сведения о группах, отсутствующих в реестре. Информация из профайлов включает в себя идентификационные данные. Обычно профайл пользователя содержит регистрационные данные, адрес, хронологию покупок и прочие атрибуты, такие как интересующие пользователя темы, настроенные пользователем цвета и т.д. Атрибутам профайла можно присвоить по несколько значений. Их можно легко изменить или получить. Так, профайл сотрудника может содержать его номер, должность и ссылку на организацию, в которой работает пользователь. С помощью базовых операций поиска можно получать значения атрибутов.

Как правило, хранилище пользователей представляет собой базу данных или сервер каталогов. Допустимы и другие варианты. Данные профайлов обычно хранятся в таблицах базы данных WebSphere Portal. Если в качестве хранилища применяется LDAP, то данные профайлов сохраняются на сервере каталогов. Если на сервере каталогов нельзя сохранить все данные профайлов, например из-за того, что в его схему нельзя добавить новые атрибуты профайлов, то часть данных профайлов можно сохранить в базе данных WebSphere Portal.

Идентификация

Хранилище данных, в котором находятся эти сведения, называется реестром идентификации. Информация о группах, применяемая для настройки прав доступа, рассматривается как информация о правах доступа, поэтому она сохраняется в реестре. Обычно реестр идентификационных данных представляет собой каталог LDAP или базу данных WebSphere Portal. Однако это может быть и другой тип хранилища данных, неизвестный Member Manager. Member Manager не позволяет использовать локальную операционную систему в качестве реестра идентификационных данных. Реестр идентификационных данных задается во время установки WebSphere Portal. Информация о нем сохраняется в файле <каталог-wp>/shared/app/wmm/wmm.xml

Для идентификации в WebSphere Portal всегда применяется сервер WebSphere Application Server. Этот сервер должен быть настроен для работы с соответствующим типом реестра. Дополнительная информация о различных вариантах идентификации приведена в разделе Идентификация.

Вложенные группы

WebSphere Portal поддерживает вложенные группы, наследующие права доступа. Вложенной называется группа, которая входит в состав другой группы. Для системы управления доступом WebSphere Portal это эквивалентно тому, что все элементы вложенной группы являются также элементами родительской группы. Другими словами, WebSphere Portal добавляет права доступа родительской группы к правам доступа вложенной группы. Предположим, что группа GlobalMarketing содержит группу USMarketing. В WebSphere Portal будет считаться, что все члены группы USMarketing являются членами группы GlobalMarketing. Таким образом, члены группы USMarketing наследуют права доступа, предоставленные членам GlobalMarketing. Если группе GlobalMarketing предоставлены права на просмотр портлета Файловый сервер, а группе USMarketing предоставлены права на просмотр портлета Часовые пояса, то фактически у группы USMarketing будут права на просмотр обоих портлетов. Это означает, что пользователь Джо из группы GlobalMarketing сможет работать только с портлетом Файловый сервер, а пользователь Сюзан из группы USMarketing сможет работать как с портлетом Файловый сервер, так и с портлетом Часовые пояса.

Более подробную информацию по этой теме вы можете найти в последней версии WebSphere Portal Information Center, опубликованной по адресу http://www.ibm.com/websphere/portal/library.

Связанная информация

• Принципы организации защиты
• Идентификация
• Проверка прав доступа
• Внешние службы настройки защиты
• Настройка SSL
• Работа с пользователями и группами