Allora il JAAS (Java Authentication and Authorization Service) si "applica" sia agli EJB, sia al "Contesto Web".
Come hai ben detto marcando gli ejb o i metodi in esso contenuti si può controllare che tali metodi vengano invocati da determinati utenti/ruoli.
Per quanto invece concerne l'accesso alle risorse web, al momento non esiste nessun tipo di annotazione che permette di dire che quella pagina deve essere visualizzata solo da un utente/ruolo, questa configurazione viene fatta nel descrittore dell'applicativo web (web.xml) attreverso i tag <login-config> , <security-constraint> e <security-role>.
Il primo permette di configurare il tipo di login che l'applicativo dovrà avere, il secondo permette di specificare quale risorse(pagine, cartelle) devono essere messe in sicurezza e quali ruoli possono avere accesso a tali risorse.
Il terzo serve a specificare tutti i ruoli che vengono definiti per l'applicativo.
Un esempio banale lo trovi qui.
Ovviamente il jaas prevede una configurazione anche lato server in modo da dirgli dove deve andare a pescare utente/password e ruolo associato.