IMS™ TM
资源适配器(IMS Connector for Java™)遵循 J2C 安全性体系结构。
必须保护企业信息系统(EIS)(例如,IMS)中的信息免遭未经授权的访问。J2EE 连接器体系结构(J2C)指定应用程序服务器和 EIS 必须互相协作,以确保只有经过授权的用户才能访问 EIS。J2C 安全性体系结构将扩展基于 J2EE 的应用程序的端到端安全性模型,以包含与 EIS 的集成。
EIS 登录
J2C 安全性体系结构支持特定于 EIS 的用户标识和密码认证机制。
用于登录目标 EIS 的用户标识和密码是由应用程序组件(组件管理的登录)或应用程序服务器(容器管理的登录)提供的。
对于 IMS TM
资源适配器,IMS 是目标 EIS。由应用程序组件或应用程序服务器提供的安全性信息先被传递给 IMS TM
资源适配器,然后由它传递给 IMS Connect。IMS
Connect 可以使用此信息来执行用户认证并将其传递给 IMS OTMA。然后,IMS
OTMA 可以使用此信息来验证授权以访问特定的 IMS 资源。
在典型环境中,IMS TM
资源适配器将它接收到的安全性信息(用户标识、密码和可选组名)通过一条 IMS OTMA
消息传递给 IMS Connect。然后,IMS
Connect 将根据它的安全性配置来调用主机的安全授权工具(SAF)。
- 对于分布式平台或 z/OS® 上使用 TCP/IP 协议的 WebSphere® Application Server,需要使用组件管理的登录或容器管理的登录:
- 如果在 IMS Connect 配置成员中设置了 RACF=Y,或者已经发出了
IMS Connect 命令 SETRACF ON,则
IMS
Connect 将调用 SAF 并使用 IMS
Connector for Java
在 OTMA 消息中传递的用户标识和密码来执行认证。如果认证成功,则将用户标识、可选组名以及
IMS
Connect 调用 SAF 之后所返回的 UTOKEN 一起传递给 IMS
OTMA,用来验证对于访问 IMS 资源的授权。
- 如果在 IMS Connect 配置成员中设置了 RACF=N,或者已经发出了
IMS
Connect 命令 SETRACF OFF,IMS
Connect 就不会调用 SAF。但是,仍然会将用户标识和组名(如果指定的话)传递给 IMS
OTMA,用来验证对于访问 IMS 资源的授权。
- 对于 z/OS
上使用“本地选项”和容器管理的 EIS 登录的 WebSphere
Application Server,用户认证仅由应用程序服务器执行。它不是在 IMS Connect
中执行的,不管 IMS Connect
配置成员中的 RACF® 设置或者调用 SETRACF 命令所造成的设置如何。WebSphere Application Sever for z/OS 调用 RACF,然后将表示用户标识的
UTOKEN 传递至 IMS TM 资源适配器。然后,IMS TM
资源适配器会将 UTOKEN 传递至 IMS Connect。当 IMS
Connect 接收到 UTOKEN 时,由于它知道 WebSphere Application Server for z/OS 已经执行了认证,因此不会调用 SAF。IMS
Connect 将 UTOKEN 传递给 IMS
OTMA,用来验证对于访问 IMS 资源的授权。
- 可以通过两种方式将用户标识提供给应用程序服务器:
- 可以通过 Java
认证和授权服务(JAAS)别名提供用户标识和密码。JAAS 别名与访问 IMS
的应用程序所使用的连接工厂相关联,或者根据 WebSphere
Application Server 的版本,与应用程序所使用的 EJB 资源引用相关联。应用程序服务器将创建一个表示用户标识的
UTOKEN,并通过别名将其传递给 IMS TM
资源适配器。
- 可配置 WebSphere
Application Server for z/OS
以获取与应用程序执行的线程相关联的用户标识。应用程序服务器将创建一个表示此用户标识的
UTOKEN,并将其传递给 IMS TM 资源适配器。
IMS 执行的授权检查级别由 IMS 命令 /SECURE OTMA 来控制。有关此命令的更多信息,请参阅 IMS OTMA Guide and Reference。
Java2 安全管理器
IMS TM
资源适配器与 WebSphere Application Server Java2
安全管理器一起工作。必须对诸如资源适配器之类的组件授权以执行受保护的任务,例如,执行套接字调用。已授权 IMS TM
资源适配器来执行这些任务。
安全套接字层(SSL)通信
如果已正确配置 IMS TM
资源适配器和 IMS Connect,则它们能够使用 TCP/IP 的安全套接字层协议来保护它们之间的通信。
SSL
连接比通常的非 SSL TCP/IP 连接更安全,它为 IMS Connect
服务器和 IMS TM
资源适配器客户机(可选)提供认证。还可对 SSL 连接上流动的消息进行加密。
SSL Null Encryption
提供中等级别的安全性,在该级别安全性上,发生认证但不对消息进行加密。加密通信具有较高安全性和较低吞吐量,而非加密 SSL 通信具有较低安全性和较高吞吐量,SSL Null Encryption 在它们之间提供了一种折衷。非加密 SSL
通信具有较高吞吐量,因为消除了对在 IMS TM
资源适配器与 IMS Connect
之间流动的每条消息加密所需的开销。