Protezione dell'adattatore di risorse IMS TM

L'adattatore di risorse IMS TM (IMS Connector per Java), segue l'architettura di protezione J2C.

Le informazioni in EIS (Enterprise Information System) come ad esempio IMS devono essere protette dall'accesso non autorizzato. J2EE Connector Architecture (J2C) specifica che il server di applicazioni ed EIS devono collaborare per garantire che solo gli utenti autenticati sono in grado di accedere ad EIS. L'architettura di protezione J2C estende il modello di protezione end-to-end per le applicazioni basate su J2EE, in modo da includere l'integrazione con EIS.

Accesso EIS

L'architettura J2C supporta un meccanismo di autenticazione ID utente e password specifico per EIS.

L'ID utente e la password da utilizzare per accedere all'EIS di destinazione vengono forniti dal componente dell'applicazione (accesso gestito dal componente) o dal server delle applicazioni (accesso gestito dal contenitore).

Per IMS Connector per Java, IMS è l'EIS di destinazione. Le informazioni sulla protezione fornite dal componente dell'applicazione o dal server delle applicazioni vengono trasmesse a IMS Connector per Java, che le passa a IMS Connect. IMS Connect può utilizzare queste informazioni per eseguire l'autenticazione utente e le trasmette a IMS OTMA. IMS OTMA può, quindi, utilizzare queste informazioni per verificare l'autorizzazione ad accedere a certe risorse IMS.

In un ambiente tipico, IMS Connector per Java fornisce le informazioni sulla protezione (ID utente, password e nome gruppo opzionale) che riceve a IMS Connect in un messaggio IMS OTMA. A seconda della configurazione della protezione, IMS Connect può, quindi, chiamare SAF (Security Authorization Facility) dell'host.
  • Per WebSphere Application Server su piattaforme distribuite o z/OS con TCP/IP, l'utilizzo dell'accesso gestito dal componente o quello gestito dal contenitore:
    • Se RACF=Y è impostato nel membro di configurazione di IMS Connect o se il comando IMS Connect SETRACF ON è stato inviato, IMS Connect chiama SAF per eseguire l'autenticazione mediante l'ID utente e la password passati da IMS Connector per Java nel messaggio OTMA. Se l'autenticazione riesce, l'ID utente, il nome gruppo facoltativo e UTOKEN restituiti dalla chiamata IMS Connect a SAF vengono trasmessi a IMS OTMA per essere utilizzati nella verifica dell'autorizzazione dell'accesso alle risorse IMS.
    • Se RACF=N è impostato nel membro di configurazione di IMS Connect o se il comando IMS Connect SETRACF OFF è stato inviato, IMS Connect non chiama SAF. Tuttavia, l'ID utente e il nome gruppo, se specificati, vengono trasmessi a IMS OTMA per essere utilizzati nella verifica dell'autorizzazione dell'accesso alle risorse IMS.
  • Per WebSphere Application Server su z/OS con Opzione locale, se si utilizza l'accesso EIS gestito dal contenitore, l'autenticazione utente viene eseguita solo dal server delle applicazioni. Non viene eseguita in IMS Connect senza tener conto dell'impostazione RACF® nel membro di configurazione di IMS Connect oppure impostata come risultato del richiamo del comando SETRACF. WebSphere Application Server per z/OS chiama RACF, quindi passa UTOKEN che rappresenta l'identità utente a IMS Connector per Java. IMS Connector per Java passa UTOKEN a IMS Connect. Quando IMS Connect vede UTOKEN, non chiama SAF, perché sa che l'autenticazione è stata già eseguita da WebSphere Application Server per z/OS. IMS Connect passa UTOKEN a IMS OTMA per essere utilizzato nella verifica dell'autenticazione dell'accesso alle risorse IMS.
  • Ci sono due modi in cui l'identità utente può essere fornita al server delle applicazioni:
    • L'ID utente e la password possono essere fornite in Java Authentication e nell'alias JAAS (Authorization Service). L'alias JAAS viene associato alla produzione di connessione utilizzata dall'applicazione che accede a IMS oppure a seconda della versione di WebSphere Application Server, al riferimento della risorsa EJB utilizzata dall'applicazione. Il server delle applicazioni crea e trasmette UTOKEN che rappresenta l'utente nell'alias a IMS Connector per Java.
    • WebSphere Application Server per z/OS può essere configurato per ottenere l'identità utente associata al thread di esecuzione dell'applicazione. Il server delle applicazioni crea e trasmette UTOKEN che rappresenta l'utente a IMS Connector per Java.

Il livello di verifica dell'autorizzazione eseguita da IMS viene controllato dal comando IMS, /SECURE OTMA. Per ulteriori informazioni su questo comando, vedere IMS OTMA Guide and Reference.

Java2 Security Manager

L'adattatore di risorse IMS TM utilizza WebSphere Application Server Java2 Security Manager. I componenti come gli adattatori di risorse devono essere autorizzati per eseguire attività protette, come le chiamate del socket. IMS Connector per Java è già autorizzato ad eseguire queste attività.

Comunicazioni SSL (Secure Socket Layer)

L'adattatore di risorse IMS TM e IMS Connect utilizzano il protocollo SSL di TCP/IP per proteggere la comunicazione tra loro. SSL offre l'autenticazione client e server, nonché i servizi di codifica, tutti supportati nell'adattatore di risorse IMS TM e in IMS Connect. SSL richiede di configurare sia l'adattatore di risorse IMS TM che IMS Connect per utilizzarli.

Concetti correlati
Accesso EIS gestito dal contenitore
Accesso EIS gestito dal componente
SSL (Secure Socket layer)

Feedback