Адаптер ресурсов IMS TM
(IMS Connector for Java) follows the J2C security architecture.
Информация, хранящаяся в информационной системе предприятия (EIS), такой как
IMS,
нуждается в защите от несанкционированного доступа. Архитектура коннекторов J2EE (J2C)
подразумевает, что сервер приложений и EIS должны действовать совместно, для того чтобы доступ к
EIS предоставлялся только идентифицированным пользователям. Архитектура защиты J2C расширяет
сквозную модель защиты для приложений J2EE, включая в нее интеграцию с системами EIS.
вход в EIS
Архитектура защиты J2C поддерживает механизм
идентификации по ИД пользователя и паролю EIS.
ИД пользователя и пароль для входа в целевую систему EIS
передаются либо компонентом приложения (вход в
систему, управляемый компонентами), либо сервером приложений
(вход в систему, управляемый контейнером).
Для адаптера ресурсов IMS TM целевой системой EIS является IMS.
Идентификационные данные передаются адаптеру ресурсов IMS TM, который передаёт их IMS Connect.
IMS Connect
на основе полученных данных идентифицирует пользователя и передаёт их в IMS OTMA. После этого IMS OTMA
может использовать эти данные для проверки прав доступа к определенным ресурсамIMS.
Обычно
адаптер ресурсов IMS TM передаёт полученные идентификационные данные (ИД, пароль и необязательное имя
группы пользователей) в IMS Connect в виде сообщения IMS OTMA. В зависимости от настроек защиты,IMS Connect может вызвать функцию Security
Authorization Facility (SAF) хоста.
- Для
WebSphere Application
Server на распределённых платформах или в
z/OS в
случае применения TCP/IP и входа в систему, управляемого компонентами или контейнером:
- Если в настройках IMS Connect указано RACF=Y, или если была выдана команда IMS Connect SETRACF ON, то IMS Connect вызывает функцию
SAF для выполнения идентификации, используя ИД пользователя и пароль, переданный IMS Connector
for Java в виде сообщения
OTMA. Если идентификация проходит успешно, ИД пользователя, имя группы и ключ UTOKEN, возвращённый
SAF, передаются IMS OTMA для проверки прав доступа к ресурсам
IMS.
- Если в настройках IMS Connect указано RACF=N или если была выдана команда IMS Connect
SETRACF OFF, тоIMS Connect не вызывает функцию
SAF. Однако ИД пользователя и имя группы, если таковое указано, по-прежнему передаются IMS OTMA
для проверки прав доступа к ресурсам IMS.
- Для WebSphere Application
Server в z/OS, поддерживающего протокол
Local Option и вход в EIS, управляемый контейнером, идентификация пользователя выполняется только сервером приложений. Идентификация не выполняется в IMS Connect, независимо от параметра RACF в настройках IMS Connect
или установленного в результате выполнения команды SETRACF. WebSphere Application
Server для z/OS вызывает функцию RACF,а затем передает адаптеру ресурсов IMS TM
ключ
UTOKEN, представляющий пользователя. Затем адаптер ресурсов IMS TM
передает полученный ключ UTOKEN в IMS Connect. Получив ключ, IMS Connect не вызывает
функцию SAF, поскольку ключ означает, что идентификация уже выполнена сервером WebSphere Application
Server для z/OS. IMS Connect
передает ключ UTOKEN в IMS OTMA для проверки прав доступа к ресурсам IMS.
- Идентификационные данные о пользователе могут быть предоставлены серверу приложений двумя способами:
- ИД пользователя и пароль могут быть предоставлены в виде псевдонима службы идентификации Java (JAAS). Псевдоним JAAS связан либо с фабрикой соединений, используемой приложением, которое работает с IMS, либо, в зависимости от версии WebSphere Application
Server, этот псевдоним может быть связан с используемой приложением ссылкой на ресурсы EJB. Сервер приложений создает ключ UTOKEN, представляющий идентифицированного пользователя в виде псевдонима, и передает этот ключ
адаптеру ресурсов IMS TM.
- WebSphere Application
Server для z/OS может
быть настроен для идентификации пользователя по идентификационным данным, связанным с нитью
выполнения. Сервер приложений создает ключ UTOKEN, представляющий такого идентифицированного пользователя, и передает этот ключ
адаптеру ресурсов IMS TM.
Уровень проверки прав доступа к IMS задается командой
IMS
/SECURE OTMA. Описание этой
команды приведено в книге IMS OTMA Guide and
Reference.
Администратор защиты Java2
Адаптером ресурсов IMS TM используется администратор защиты Java2 на сервере WebSphere Application
Server. Компоненты, такие как адаптеры ресурсов, могут выполнять защищенные задачи,
такие как обращение к сокетам, только при наличии соответствующих прав доступа. Адаптер ресурсов IMS TM
по умолчанию обладает правами на выполнение этих задач.
Связи Secure Sockets Layer (SSL)
При условии правильной настройки, адаптер ресурсов IMS TM
и IMS Connect могут использовать протокол
TCP/IP Secure Sockets Layer для защиты взаимных связей.
Соединения SSL надежнее, чем обычные соединения по TCP/IP без SSL. Они обеспечивают идентификацию для сервера IMS Connect и, по выбору, для клиента - адаптера ресурсов IMS TM. Кроме того, сообщения, передаваемые по соединениям SSL, могут быть зашифрованы.
SSL с нулевым шифрованием (Null Encryption) обеспечивает промежуточный уровень защиты, в котором идентификация имеет место, но сообщения остаются незашифрованными. Обмен зашифрованной информацией характеризуется более высоким уровнем защиты и низкой пропускной способностью. Функция нулевого шифрования SSL предлагает компромисс в виде более слабой защиты и высокой пропускной способности соединений по протоколу SSL. Обмен незашифрованной информацией по протоколу SSL
отличается более высокой пропускной способностью благодаря отказу от дополнительной необходимости шифровать все сообщения, которыми обмениваются адаптер ресурсов IMS TM и
IMS Connect.