Безопасность, управляемая пользователем в Java EE

Я хочу защитить свои страницы JSF в приложении Java EE 6.

Я хочу хранить пользователей и роли в базе данных и иметь привилегированных пользователей для администрирования их через веб-инструмент. Привилегированные пользователи добавляли бы пользователей к ролям и устанавливали определенные страницы, требующие определенных ролей для доступа.

Мне кажется, что безопасность, управляемая контейнером, не позволяет мне этого делать. Будет ли JAAS продвигаться вперед?

Мы будем благодарны за любые предложения и ссылки на примеры.