访问控制

为了便于数据库管理并确保安全性,对 WebSphere Commerce 的访问必须限于特定的个人和组织。限定访问过程称为访问控制或授权。可以将访问控制定义为如下的安全性准则:

WebSphere Commerce 的访问控制模型以访问控制策略的执行为基础。访问控制策略由访问控制策略管理器执行。通常,当用户试图在受保护的资源上执行操作时,访问控制策略管理器首先确定适用于该资源的访问控制策略,然后根据适用的访问控制策略确定是否允许该用户在给定资源上执行请求的操作。

站点管理员管理适用于整个站点的访问控制策略,也可以管理适用于一个商店的访问控制策略。关于管理访问控制策略的更多信息,请参阅《WebSphere Commerce 安全性指南》。

访问控制策略组

电子交易站点中不同的组需要不同组的访问控制策略。例如,卖方组织需要与购物有关的策略,而买方组织则不需要这种规则。在 WebSphere Commerce 中,为了满足这种类型的需求,访问控制策略被分到访问控制策略组。为了在站点中应用访问控制策略,此策略必须属于一个访问控制策略组。那么,组织根据它们的商务和访问控制需求预定到适当的访问控制策略组。站点管理员可以使用管理控制台预定到访问控制策略组

访问控制策略

访问控制策略授权一组用户,使其有权在一组 WebSphere Commerce 资源上执行特定操作。除非已通过一个或多个访问控制策略授权,用户不能访问任何功能。访问控制策略授权特定用户组对特定的资源组中的资源进行特定的操作。

访问控制策略由以下四个部分构成:

注意:属于某个特定访问组的用户可以对属于指定资源组的资源执行指定操作组中的操作。

站点管理员查看整个站点的访问控制策略。WebSphere Commerce 附带两组缺省的访问控制策略,可以使用提供的策略也可进行定制。缺省访问控制策略是:

  1. 可分组的标准策略(策略类型 -2)
  2. 可分组的模板策略(策略类型 -3)

可分组的模板和可分组的标准策略都必须属于一个策略组,以便在系统中应用。可分组的标准策略将在预定到包含此策略的策略组的组织上应用一次。

可分组模板策略本质上说是动态的,因为在系统运行时,它们具有一个范围可达拥有资源的组织的访问组。例如,当此类型的策略应用到组织 XYZ 所有的资源上时,它将检查用户是否为组织 XYZ 或其上级扮演一个特定的角色。

站点管理员可以在管理控制台执行以下任务:

资源和资源组

资源是系统中任何需要保护的对象。例如,“RFQ”、“拍卖”、“用户”、“订单”都是 WebSphere Commerce 中需要保护的一些资源。每个资源具有一个所有者。资源的所有权可以用来确定适用的访问控制策略。

资源组标识一系列相关的资源。资源组可以包含商务对象(例如合同)或一系列相关的命令。在访问控制中,资源组指定访问控制策略授权访问的资源。资源组可以是显式或是隐式的。

通过指定属性添加资源到隐式组,则无须指定每一资源而很容易就可以授权访问许多资源。这也避免了资源发生更改时添加或删除资源的需要。

通过列出名称添加资源到显式组,允许您对无须共享公共属性的独立资源分组。

注意:资源和资源组由根组织所拥有。其它组织无法拥有资源或资源组。  RFQs 在 WebSphere Commerce Professional Edition 中不可用。

站点管理员可以在管理控制台执行以下任务:

资源类别

资源类别是指一类资源。资源类别是 Java 类,例如“订单”、“RFQ”和“拍卖”。资源是这些类的实例。例如,由拍卖管理员 A 创建的 Auction1 是一个资源;拍卖管理员 B 创建的 Auction2 是另一个资源。这两个资源属于资源类别“拍卖”。WebSphere Commerce 组件使用的所有资源都注册在 ACRESCGRY 表中。

资源关系

每个资源可能具有几种与其相关联的关系,以及实现每种关系的成员的集合。例如,所有资源具有“所有者”的关系,该关系由资源的所有者实现。其它关系可以包含文档的接收方和产品目录条目的供应商。这些资源关系在确定谁可以对资源的特定实例执行某些操作时很重要。例如,文档的创建者可能不能将其删除,而审计员可能可以。类似地,审阅者可能只能阅读和核准文档,而不能将其转发或执行其它操作。

操作和操作组

操作是用户可以对资源执行的一系列行为。通常,操作映射为 WebSphere Commerce 命令。如果资源组是商务对象(例如,合同),则操作可能是“创建”或“核准”。在 WebSphere Commerce 中,当命令应用于其它资源时,它们就成为操作。例如,命令 UserProfileUpdate 可以作为一个操作应用于用户概要文件。

操作组是关联操作的组。举例来说,AccountManage 组就是一个操作组,它包含以下命令:

站点管理员可以在管理控制台执行以下任务:

关于访问控制和管理控制台外完成的任务的更多信息,请参阅《WebSphere Commerce 安全性指南》。