IMS TM erőforrás-illesztő biztonság

Az IMS TM erőforrás-illesztő (IMS Connector for Java) a J2C biztonsági architektúrát követi.

Egy Vállalati információs rendszerben (EIS), például az IMS rendszerben az információkat védeni kell a jogosulatlan hozzáférésektől. A J2EE Connector Architecture (J2C) meghatározza, hogy az alkalmazáskiszolgálónak és a Vállalati információs rendszernek (EIS) együtt kell működnie annak érdekében, hogy csak a hitelesített felhasználók érhessék el az EIS rendszert. A J2C biztonsági architektúra kiterjeszti a J2EE alapú alkalmazások vég-vég biztonsági modelljét, hogy azok tartalmazzák az integrációt az EIS rendszerekkel.

EIS bejelentkezés

A J2C biztonsági architektúra támogatja az EIS rendszerekre jellemző felhasználói azonosító és jelszó hitelesítési mechanizmusokat.

A cél EIS rendszerre bejelentkezéshez használandó felhasználói azonosítót és jelszót az alkalmazásösszetevő (összetevő által felügyelt bejelentkezés) vagy az alkalmazáskiszolgáló (tároló által felügyelt bejelentkezés) szolgáltatja.

Az IMS TM erőforrás-illesztő számára az IMS a cél EIS. Az alkalmazásösszetevő vagy az alkalmazáskiszolgáló által biztosított biztonsági információk átadásra kerülnek az IMS TM erőforrás-illesztő számára, amely azután átadja azokat az IMS Connect számára. Az IMS Connect ezen információk felhasználásával elvégzi a hitelesítést, majd átadja azokat az IMS OTMA felé. Az IMS OTMA ezekkel az információkkal megerősíti a jogosultságot adott IMS erőforrások hozzáféréséhez.

Egy jellemző környezetben az IMS TM erőforrás-illesztő átadja a kapott biztonsági információkat (felhasználói azonosító, jelszó és opcionális csoportnév) az IMS Connect számára egy IMS OTMA üzenetben. A biztonsági beállításaitól függően az IMS Connect azután meghívhatja a hoszt Biztonsági jogosultság szolgáltatását (SAF).
  • Az osztott vagy z/OS platformokon futó WebSphere Application Server esetén, TCP/IP protokollt és összetevő által felügyelt vagy tároló által felügyelt bejelentkezést használva:
    • Ha az RACF=Y az IMS Connect konfigurációs tag beállítása, vagy ha kiadásra került az IMS Connect SETRACF ON parancsa, akkor az IMS Connect meghívja az SAF szolgáltatást hitelesítés végrehajtására az IMS Connector for Java által az OTMA üzenetben átadott felhasználói azonosító és jelszó felhasználásával. Sikeres hitelesítés esetén az IMS Connect SAF hívásából visszakapott felhasználói azonosító, opcionális csoportnév és UTOKEN átadásra kerül az IMS OTMA számára a jogosultság megerősítéséhez az IMS erőforrások elérése érdekében.
    • Ha az RACF=N az IMS Connect konfigurációs tag beállítása, vagy ha kiadásra került az IMS Connect SETRACF OFF parancsa, akkor az IMS Connect nem hívja meg az SAF szolgáltatást. Ugyanakkor ha a felhasználói azonosító és csoportnév megadott, akkor azok továbbra is átadásra kerülnek az IMS OTMA számára a jogosultság megerősítéséhez az IMS erőforrások elérése érdekében.
  • A Helyi beállítást és tároló által felügyelt EIS bejelentkezést használó WebSphere Application Server esetén z/OS platformon csak az alkalmazáskiszolgáló végez felhasználói hitelesítést. Az IMS Connect programban ez nem kerül végrehajtásra, tekintet nélkül az IMS Connect konfigurációs tag RACF beállítására vagy a SETRACF parancs meghívásának eredményére. A WebSphere Application Sever for z/OS meghívja az RACF szolgáltatást, majd átadja a felhasználói azonosságot képviselő UTOKEN-t az IMS TM erőforrás-illesztő számára. Az IMS TM erőforrás-illesztő azután átadja az UTOKEN-t az IMS Connect felé. Amikor az IMS Connect megkapja az UTOKEN-t, nem hívja meg az SAF szolgáltatást, mert tudja, hogy a hitelesítést a WebSphere Application Server for z/OS már elvégezte. Az IMS Connect átadja az UTOKEN-t az IMS OTMA számára a jogosultság megerősítéséhez az IMS erőforrások elérése érdekében.
  • Kétféleképp nyújtható a felhasználói azonosság az alkalmazáskiszolgálónak:
    • A felhasználói azonosító és jelszó megadható egy Java JAAS álnévben. A JAAS álnév vagy az IMS rendszert elérő alkalmazás által használt kapcsolatgyárral, vagy az alkalmazás által használt EJB erőforrás-hivatkozással társított, a WebSphere Application Server verziójától függően. Az alkalmazáskiszolgáló az álnévben a felhasználói azonosságot képviselő UTOKEN-t létrehozza és átadja az IMS TM erőforrás-illesztő számára.
    • A WebSphere Application Server for z/OS beállítható az alkalmazás végrehajtási száljához tartozó felhasználói azonosság lekérdezésére. Az alkalmazáskiszolgáló az adott felhasználói azonosságot képviselő UTOKEN-t létrehozza és átadja az IMS TM erőforrás-illesztő számára.

Az IMS által elvégzett jogosultságellenőrzés az IMS /SECURE OTMA parancsa által irányított. Erről a parancsról további információk a következő fejezetben találhatók: IMS OTMA útmutató és kézikönyv.

Java2 biztonságkezelő

Az IMS TM erőforrás-illesztő együttműködik a WebSphere Application Server Java2 biztonságkezelővel. Az összetevőknek, mint például az erőforrás-illesztőknek jogosultnak kell lenniük védett feladatok, például socket hívások végrehajtására. Az IMS TM erőforrás-illesztő már jogosult ezen feladatok elvégzésére.

Védett socket réteg (SSL) kommunikáció

Ha megfelelően konfiguráltak, akkor az IMS TM erőforrás-illesztő és az IMS Connect használni tudja a TCP/IP Védett socket réteg (SSL) protokollját a köztük meglévő kommunikáció biztonságossá tételére.

Az SSL kapcsolatok sokkal biztonságosabbak, mint a normál, nem SSL TCP/IP kapcsolat, amely hitelesítést biztosít az IMS Connect kiszolgáló és opcionálisan az IMS TM erőforrás-illesztő ügyfél számára. Az SSL kapcsolatokon áthaladó üzenetek titkosíthatók is

Az SSL nulltitkosítással köztes biztonsági szintet nyújt, amelyben a hitelesítés megvalósul, de az üzenetek nem titkosítottak. Az SSL nulltitkosítás kompromisszumot képvisel a titkosított kommunikáció magasabb biztonsága és alacsonyabb áteresztőképessége, valamint a nem titkosított SSL kommunikáció alacsonyabb biztonsága és magasabb áteresztőképessége között. A nem titkosított SSL kommunikációnak magasabb az áteresztőképessége az IMS TM erőforrás-illesztő és az IMS Connect között átvitt üzenetek titkosítása által igényelt többletterhelés elhagyása miatt.

Kapcsolódó fogalmak
Tároló által felügyelt EIS bejelentkezés
Összetevő által felügyelt EIS bejelentkezés
Védett socket réteg (SSL)

Visszajelzés