Защита адаптера ресурсовIMS TM

Адаптер ресурсов IMS TM (IMS Connector for Java) follows the J2C security architecture.

Информация, хранящаяся в информационной системе предприятия (EIS), такой как IMS, нуждается в защите от несанкционированного доступа. Архитектура коннекторов J2EE (J2C) подразумевает, что сервер приложений и EIS должны действовать совместно, для того чтобы доступ к EIS предоставлялся только идентифицированным пользователям. Архитектура защиты J2C расширяет сквозную модель защиты для приложений J2EE, включая в нее интеграцию с системами EIS.

вход в EIS

Архитектура защиты J2C поддерживает механизм идентификации по ИД пользователя и паролю EIS.

ИД пользователя и пароль для входа в целевую систему EIS передаются либо компонентом приложения (вход в систему, управляемый компонентами), либо сервером приложений (вход в систему, управляемый контейнером).

Для адаптера ресурсов IMS TM целевой системой EIS является IMS. Идентификационные данные передаются адаптеру ресурсов IMS TM, который передаёт их IMS Connect. IMS Connect на основе полученных данных идентифицирует пользователя и передаёт их в IMS OTMA. После этого IMS OTMA может использовать эти данные для проверки прав доступа к определенным ресурсамIMS.

Обычно адаптер ресурсов IMS TM передаёт полученные идентификационные данные (ИД, пароль и необязательное имя группы пользователей) в IMS Connect в виде сообщения IMS OTMA. В зависимости от настроек защиты,IMS Connect может вызвать функцию Security Authorization Facility (SAF) хоста.
  • Для WebSphere Application Server на распределённых платформах или в z/OS в случае применения TCP/IP и входа в систему, управляемого компонентами или контейнером:
    • Если в настройках IMS Connect указано RACF=Y, или если была выдана команда IMS Connect SETRACF ON, то IMS Connect вызывает функцию SAF для выполнения идентификации, используя ИД пользователя и пароль, переданный IMS Connector for Java в виде сообщения OTMA. Если идентификация проходит успешно, ИД пользователя, имя группы и ключ UTOKEN, возвращённый SAF, передаются IMS OTMA для проверки прав доступа к ресурсам IMS.
    • Если в настройках IMS Connect указано RACF=N или если была выдана команда IMS Connect SETRACF OFF, тоIMS Connect не вызывает функцию SAF. Однако ИД пользователя и имя группы, если таковое указано, по-прежнему передаются IMS OTMA для проверки прав доступа к ресурсам IMS.
  • Для WebSphere Application Server в z/OS, поддерживающего протокол Local Option и вход в EIS, управляемый контейнером, идентификация пользователя выполняется только сервером приложений. Идентификация не выполняется в IMS Connect, независимо от параметра RACF в настройках IMS Connect или установленного в результате выполнения команды SETRACF. WebSphere Application Server для z/OS вызывает функцию RACF,а затем передает адаптеру ресурсов IMS TM ключ UTOKEN, представляющий пользователя. Затем адаптер ресурсов IMS TM передает полученный ключ UTOKEN в IMS Connect. Получив ключ, IMS Connect не вызывает функцию SAF, поскольку ключ означает, что идентификация уже выполнена сервером WebSphere Application Server для z/OS. IMS Connect передает ключ UTOKEN в IMS OTMA для проверки прав доступа к ресурсам IMS.
  • Идентификационные данные о пользователе могут быть предоставлены серверу приложений двумя способами:
    • ИД пользователя и пароль могут быть предоставлены в виде псевдонима службы идентификации Java (JAAS). Псевдоним JAAS связан либо с фабрикой соединений, используемой приложением, которое работает с IMS, либо, в зависимости от версии WebSphere Application Server, этот псевдоним может быть связан с используемой приложением ссылкой на ресурсы EJB. Сервер приложений создает ключ UTOKEN, представляющий идентифицированного пользователя в виде псевдонима, и передает этот ключ адаптеру ресурсов IMS TM.
    • WebSphere Application Server для z/OS может быть настроен для идентификации пользователя по идентификационным данным, связанным с нитью выполнения. Сервер приложений создает ключ UTOKEN, представляющий такого идентифицированного пользователя, и передает этот ключ адаптеру ресурсов IMS TM.

Уровень проверки прав доступа к IMS задается командой IMS /SECURE OTMA. Описание этой команды приведено в книге IMS OTMA Guide and Reference.

Администратор защиты Java2

Адаптером ресурсов IMS TM используется администратор защиты Java2 на сервере WebSphere Application Server. Компоненты, такие как адаптеры ресурсов, могут выполнять защищенные задачи, такие как обращение к сокетам, только при наличии соответствующих прав доступа. Адаптер ресурсов IMS TM по умолчанию обладает правами на выполнение этих задач.

Связи Secure Sockets Layer (SSL)

При условии правильной настройки, адаптер ресурсов IMS TM и IMS Connect могут использовать протокол TCP/IP Secure Sockets Layer для защиты взаимных связей.

Соединения SSL надежнее, чем обычные соединения по TCP/IP без SSL. Они обеспечивают идентификацию для сервера IMS Connect и, по выбору, для клиента - адаптера ресурсов IMS TM. Кроме того, сообщения, передаваемые по соединениям SSL, могут быть зашифрованы.

SSL с нулевым шифрованием (Null Encryption) обеспечивает промежуточный уровень защиты, в котором идентификация имеет место, но сообщения остаются незашифрованными. Обмен зашифрованной информацией характеризуется более высоким уровнем защиты и низкой пропускной способностью. Функция нулевого шифрования SSL предлагает компромисс в виде более слабой защиты и высокой пропускной способности соединений по протоколу SSL. Обмен незашифрованной информацией по протоколу SSL отличается более высокой пропускной способностью благодаря отказу от дополнительной необходимости шифровать все сообщения, которыми обмениваются адаптер ресурсов IMS TM и IMS Connect.

Понятия, связанные с данным
Вход в информационную систему предприятия, управляемый контейнером
Вход в информационную систему предприятия, управляемый компонентами
Secure Sockets layer (SSL)

Комментарии