本文首先简单的介绍了如何使用 WSRR 进行细粒度的">访问控制,如何使用 WSRR Studio 访问控制编辑器,然后通过一个具体的业务实例来详细说明 WSRR 的访问权限配置。
IBM WebSphere Service Registry and Repository(以下简称 WSRR)是 IBM 推出的 SOA 领域里关键的企业级产品,WSRR V8.0 是这一产品最新发布的版本。简单来说,它是一个用于存储、访问、管理、治理服务信息(一般为服务元数据)的系统。在一个成功的 SOA 实施过程当中,它被用于管理和治理可重用的服务,需要访问服务的其他产品可以通过查询 WSRR 得到所需要的服务地址,从而实现动态的路由。
WSRR Studio(以下简称 Studio)是一款基于 Eclipse 开发的工具,它使终端用户可以方便的通过基于 Eclipse 的环境来配置 WSRR,从而使复杂的配置文件能够以可视化的向导方式进行灵活的编辑。
本系列文章将结合具体的客户应用案例来说明如何通过 Studio 来实现 WSRR V8.0 的快速配置,在了解 WSRR 产品特点的基础上,更多的了解一些具体的使用技巧。
本系列文章将包括如下五个部分:
WSRR Studio V8.0 应用系列, 第 1 部分:使用 Studio 实现 WSRR 访问权限配置:介绍如何通过 Studio 来快速修改 WSRR 访问权限定义文件。 WSRR Studio V8.0 应用系列, 第 2 部分:使用 Studio 实现 WSRR 生命周期管理:介绍如何通过 Studio 创建服务生命周期并对
其实现生命周期的管理。 WSRR Studio V8.0 应用系列, 第 3 部分:使用 Studio 生成 WSRR 报表: 介绍如何通过 Studio 来定义、创建报表,并在 WSRR 服务器上展示。 WSRR Studio V8.0 应用系列, 第 4 部分:使用 Studio 实现 WSRR 多语言支持:介绍如何在 Studio 中定义多语言文件,使 WSRR 获得多语言支持,从而方便世界各国的 WSRR 开发者和使用者。 WSRR Studio V8.0 应用系列, 第 5 部分:使用 Studio 定制 WSRR 用户界面 : 介绍如何使用 Studio 对 WSRR 的用户界面进行个性化的定制。
本文为本系列的第一部分,向您介绍了如何使用 WSRR Studio V8.0 进行访问权限的相关配置,为不同的用户提供针对不同对象的访问权限,实现 WSRR 细粒度的访问控制。
WSRR V8.0 访问权限控制介绍
WSRR 是基于 WebSphere Application Server(WAS) 的安全机制,保证只有授权的用户才能访问特定的资源。但这只能支持粗粒度的访问控制。这部分内容在本文的参考文献中有相关的详细介绍,我们这里就不再进行赘述。 对于如何限定用户对某一对象进行细粒度的访问控制就需要结合 WSRR 本身的访问控制机制,而且可以通过 Studio 可视化的访问控制编辑器快速便捷的修改 WSRR 访问控制定义文件。
WSRR 访问控制定义文件
WSRR 访问控制相关信息是基于 XACML 定义的,XACML(eXtensible Access Control Markup Language, 可扩展的访问控制标记语言 ) 是一个通用的访问控制定义语言。在一个 WSRR 配置文件(WSRR Configuration Profile)中,访问控制定义文件位于文件夹 XACML 下:
SrrAuthzRoleMappingXacml.xml: 用于记录所创建的角色定义 SrrAuthzCheckedPolicyXacml.xml: 用于记录所创建的权限定义
WSRR 的运行需要装载预先定制的配置文件(Profile),配置文件分为两种基本的类型:基本配置文件(Basic Profile)和加强治理配置文件(Governance Enablement Profile)。
基本配置文件中,只定义了两种角色 WSRRAdmin 和 WSRRUser,以及为两种角色所定义的权限。
加强治理配置文件中,定义了 Business、Development、Operations、SOAGovernance、WSRRAdmin 和 WSRRUser 共六种角色以及相关定义的权限。
WSRR 服务器上访问权限的配置
在 WSRR 服务器中打开配置视图,然后在上面的工具栏或者左侧的导航树中 ( 图 1 所示 ) 定位到 Active Profile -> Access Control
图 1. 定位到访问控制配置页面
点击 Permission Definitions 就可以浏览具体的权限定义:
图 2. 管理权限页面
从图 2 中,我们可以看到预定义的权限详细信息。这里具体的含义就不再详细介绍,因为在 WSRR V8.0 里我们不再需要在页面上对权限定义 XPATH 进行手动编辑,而是通过 Studio 进行简单方便的向导编辑。下面我就来了解一些如何通过 Studio 来进行访问权限定义文件的编辑。