security - ¿Cómo puede un proveedor JACC utilizar las funciones de mapeo Principal-to-role del servidor en el que está implementado?

Estoy escribiendo un proveedor de JACC .

En el camino, esto significa implementar una PolicyConfiguration política.

PolicyConfiguration es responsable de aceptar información de configuración del servidor de aplicaciones, como qué permisos se acumulan para qué roles. Esto es para que una Policy posterior pueda tomar decisiones de autorización cuando se le entregue información sobre el usuario actual y lo que está tratando de hacer.

Sin embargo, no es parte del contrato (atroz) de PolicyConfiguration mantener un mapeo entre los roles y sus permisos, y los Principals que están asignados a esos roles.

Normalmente, siempre, realmente, un servidor de aplicaciones aloja esta asignación. Por ejemplo, en Glassfish, usted afecta este mapeo suministrando cosas como sun-web.xml y sun-ejb-jar.xml y así sucesivamente con sus módulos Java EE. (Estos archivos específicos del proveedor son los responsables de decir, por ejemplo, superusers es un grupo al que se le asignará la función de aplicación de admins ).

Me gustaría volver a utilizar la funcionalidad que proporcionan estos archivos, y me gustaría hacerlo para la mayor variedad posible de servidores de aplicaciones.

Aquí está, de manera totalmente arbitraria, la opinión de IBM sobre el asunto, que parece confirmar mi sospecha de que lo que quiero hacer es esencialmente imposible . (Más munición para mi caso de que este contrato particular de Java EE no vale el papel en el que está impreso).

Mi pregunta: ¿cómo puedo obtener esta información de principal a role-mapping en - para empezar - Glassfish y JBoss desde una PolicyConfiguration ? Si hay una forma estándar de hacerlo que no conozco, soy todo oídos.