Sécurité de l'adaptateur de ressources IMS TM

L'adaptateur de ressources IMS TM (IMS Connector for Java) suit l'architecture de sécurité J2C.

Les informations d'un système d'informations d'entreprise (EIS) tel qu'IMS doivent être protégées contre les accès non autorisés. L'architecture J2EE Connector (J2C) indique que le serveur d'application et le système EIS doivent collaborer afin de garantir aux utilisateurs authentifiés uniquement l'accès à un système EIS. L'architecture J2EE Connector étend le modèle de sécurité complet pour les applications basées sur J2EE afin d'inclure l'intégration avec les systèmes EIS.

Connexion au système EIS

L'architecture J2EE Connector prend en charge un mécanisme d'authentification de l'ID utilisateur et du mot de passe propre à un EIS.

L'ID utilisateur et le mot de passe pour se connecter au système EIS cible sont fournis par le composant de l'application (connexion gérée par composant) ou par le serveur d'applications (connexion gérée par conteneur).

Pour l'adaptateur de ressources IMS TM, IMS est le système EIS cible. Les informations de sécurité fournies par le composant d'application ou le serveur d'applications sont transmises à l'adaptateur de ressources IMS TM qui les transmet ensuite à IMS Connect. IMS Connect peut utiliser ces informations pour authentifier l'utilisateur puis les transmet à IMS OTMA. IMS OTMA peut à son tour utiliser ces informations pour vérifier l'autorisation d'accès à certaines ressources IMS.

Dans un environnement classique, IMS TM transmet les informations de sécurité (l'ID utilisateur, le mot de passe et, en option, le nom du groupe) qu'il reçoit à IMS Connect dans un message IMS OTMA. Selon le type de configuration de sécurité, IMS Connect peut appeler la fonction SAF (Security Authorization Facility).
  • Pour WebSphere Application Server sur des plateformes distribuées ou z/OS avec TCP/IP, utilisant une connexion gérée par composant ou par conteneur :
    • Si RACF=Y est défini dans le membre de configuration d'IMS Connect ou si la commande d'IMS Connect SETRACF ON a été émise, IMS Connect appelle la fonction SAF pour effectuer l'authentification avec l'D utilisateur et le mot de passe transmis par IMS Connector for Java dans le message OTMA. Si l'authentification réussit, l'ID utilisateur, le nom de groupe facultatif et l'UTOKEN renvoyés par l'appel IMS Connect à la fonction SAF sont transmis à IMS OTMA et vont servir à vérifier l'autorisation d'accès aux ressources IMS.
    • Si RACF=N est défini dans le membre de configuration d'IMS Connect ou si la commande IMS Connect SETRACF OFF a été émise, IMS Connect n'appelle pas la fonction SAF. Cependant, la transmission de l'ID utilisateur et du nom de groupe, le cas échéant, à IMS OTMA s'effectue toujours pour vérifier l'autorisation d'accès aux ressources IMS.
  • Pour WebSphere Application Server sous z/OS avec Local Option et une connexion à EIS gérée par conteneur, l'authentification d'utilisateur est réalisée par le serveur d'applications uniquement. Elle n'est pas réalisée dans IMS Connect, quel que soit le réglage RACF dans le membre de configuration d'IMS Connect, ni définie consécutivement à l'appel d'une commande SETRACF. WebSphere Application Server for z/OS appelle RACF, puis il passe à l'adaptateur de ressources IMS TM l'UTOKEN représentant l'identité de l'utilisateur. A son tour, l'adaptateur de ressources IMS TM passe l'UTOKEN à IMS Connect. Lorsqu'IMS Connect repère l'UTOKEN, il n'appelle pas la fonction SAF, car il sait que WebSphere Application Server for z/OS a déjà effectué l'authentification. IMS Connect transmet l'UTOKEN à IMS OTMA qui va servir à vérifier l'autorisation d'accès aux ressources IMS.
  • L'identité de l'utilisateur peut être fournie au serveur d'applications de deux manières :
    • Il est possible de fournir l'ID utilisateur et le mot de passe dans un alias JAAS (Java Authentication and Authorization Service). L'alias JAAS est associé à la fabrique de connexions utilisée par l'application ayant accès à IMS ou, en fonction de la version de WebSphere Application Server, à la référence de ressource du composant EJB utilisée par l'application. Le serveur d'applications crée et transmet l'UTOKEN représentant l'identité de l'utilisateur dans l'alias à l'adaptateur de ressources IMS TM.
    • Il est possible de configurer WebSphere Application Server for z/OS pour obtenir l'identité de l'utilisateur associée à l'unité d'exécution de l'application. Le serveur d'applications crée et transmet l'UTOKEN représentant cette identité d'utilisateur à l'adaptateur de ressources IMS TM.

Le niveau du contrôle des autorisations effectué par IMS est contrôlé par la commande IMS /SECURE OTMA. Voir Guide et références IMS OTMA pour plus d'informations concernant cette commande.

Gestionnaire de sécurité Java2

L'adaptateur de ressources IMS TM fonctionne avec le gestionnaire de sécurité Java2 de WebSphere Application Server. Les composants tels que les adaptateurs de ressources doivent être autorisés à exécuter des tâches protégées comme passer des appels de connexion. L'adaptateur de ressources IMS TM est déjà autorisé à effectuer ces tâches.

communications SSL (Secure Sockets Layer)

S'ils sont correctement configurés, l'adaptateur de ressources IMS TM et IMS Connect sont en mesure d'utiliser le protocole SSL (Secure Sockets Layer) de TCP/IP pour sécuriser leurs communications.

Les connexions SSL sont plus sûres que les connexions TCP/IP classiques, car elles assurent l'authentification du serveur (IMS Connect) et, en option, celle du client (l'adaptateur de ressources IMS TM). Les messages circulant sur les connexions SSL peuvent aussi être chiffrés.

SSL avec chiffrement Null offre un niveau intermédiaire de sécurité en assurant l'authentification mais sans chiffrer les messages. La fonction Chiffrement Null constitue un bon compromis entre les communications chiffrées, plus sûres mais moins performantes, et les communications non-SSL, plus performantes mais moins sûres. Les communications SSL non chiffrées ont un meilleur débit du fait de l'élimination du surcroît de traitement nécessaire au chiffrement de chaque message circulant entre l'adaptateur de ressources IMS TM et IMS Connect.

Concepts associés
Connexion de système EIS gérée par conteneur
Connexion de système EIS gérée par composant
SSl (Secure Sockets layer)

Vos commentaires