Az IMS TM
erőforrás-illesztő (IMS
Connector for Java)
a J2C biztonsági architektúrát követi.
Egy Vállalati információs rendszerben (EIS), például az
IMS
rendszerben az információkat védeni kell a jogosulatlan hozzáférésektől. A
J2EE Connector Architecture (J2C) meghatározza, hogy az
alkalmazáskiszolgálónak és a Vállalati információs rendszernek (EIS)
együtt kell működnie annak érdekében, hogy csak a hitelesített
felhasználók érhessék el az EIS rendszert. A J2C biztonsági architektúra
kiterjeszti a J2EE alapú alkalmazások vég-vég biztonsági modelljét, hogy
azok tartalmazzák az integrációt az EIS rendszerekkel.
EIS bejelentkezés
A J2C biztonsági architektúra
támogatja az EIS rendszerekre jellemző felhasználói azonosító és jelszó hitelesítési
mechanizmusokat.
A cél EIS rendszerre bejelentkezéshez használandó
felhasználói azonosítót és jelszót az alkalmazásösszetevő (összetevő által felügyelt
bejelentkezés) vagy az alkalmazáskiszolgáló (tároló által felügyelt bejelentkezés)
szolgáltatja.
Az IMS
TM erőforrás-illesztő számára az IMS
a cél EIS. Az alkalmazásösszetevő vagy az alkalmazáskiszolgáló által
biztosított biztonsági információk átadásra kerülnek az IMS
TM erőforrás-illesztő számára, amely azután átadja azokat az IMS
Connect számára. Az IMS
Connect ezen információk felhasználásával elvégzi a hitelesítést, majd
átadja azokat az IMS
OTMA felé. Az IMS
OTMA ezekkel az információkkal megerősíti a jogosultságot adott IMS
erőforrások hozzáféréséhez.
Egy jellemző környezetben az IMS
TM erőforrás-illesztő átadja a kapott biztonsági információkat (felhasználói
azonosító, jelszó és opcionális csoportnév) az IMS
Connect számára egy IMS OTMA
üzenetben. A biztonsági beállításaitól függően az IMS
Connect azután meghívhatja a hoszt Biztonsági jogosultság szolgáltatását (SAF).
- Az osztott vagy z/OS
platformokon futó WebSphere Application
Server esetén, TCP/IP protokollt és összetevő által felügyelt vagy tároló által
felügyelt bejelentkezést használva:
- Ha az RACF=Y az IMS
Connect konfigurációs tag beállítása, vagy ha kiadásra került az IMS
Connect SETRACF ON parancsa, akkor az IMS
Connect meghívja az SAF szolgáltatást hitelesítés végrehajtására az IMS
Connector for Java
által az OTMA üzenetben átadott felhasználói azonosító és jelszó
felhasználásával. Sikeres hitelesítés esetén az IMS
Connect SAF hívásából visszakapott felhasználói azonosító, opcionális csoportnév és UTOKEN átadásra kerül az
IMS
OTMA számára a jogosultság megerősítéséhez az IMS
erőforrások elérése érdekében.
- Ha az RACF=N az IMS
Connect konfigurációs tag beállítása, vagy ha kiadásra került az IMS
Connect SETRACF OFF parancsa, akkor az IMS
Connect nem hívja meg az SAF szolgáltatást. Ugyanakkor ha a felhasználói
azonosító és csoportnév megadott, akkor azok továbbra is átadásra kerülnek az IMS
OTMA számára a jogosultság megerősítéséhez az IMS
erőforrások elérése érdekében.
- A Helyi beállítást és tároló által felügyelt EIS bejelentkezést
használó WebSphere Application
Server esetén z/OS
platformon csak az alkalmazáskiszolgáló végez felhasználói hitelesítést. Az IMS
Connect programban ez nem kerül végrehajtásra, tekintet nélkül az IMS
Connect konfigurációs tag RACF
beállítására vagy a SETRACF parancs meghívásának eredményére. A WebSphere
Application Sever for z/OS
meghívja az RACF
szolgáltatást, majd átadja a felhasználói azonosságot képviselő
UTOKEN-t az IMS
TM erőforrás-illesztő számára. Az IMS TM
erőforrás-illesztő azután átadja az UTOKEN-t az IMS
Connect felé. Amikor az IMS
Connect megkapja az UTOKEN-t, nem hívja meg az SAF szolgáltatást, mert
tudja, hogy a hitelesítést a WebSphere
Application Server for z/OS
már elvégezte. Az IMS Connect
átadja az UTOKEN-t az IMS
OTMA számára a jogosultság megerősítéséhez az IMS
erőforrások elérése érdekében.
- Kétféleképp nyújtható a felhasználói azonosság az alkalmazáskiszolgálónak:
- A felhasználói azonosító és jelszó megadható egy Java
JAAS álnévben. A JAAS álnév vagy az IMS
rendszert elérő alkalmazás által használt kapcsolatgyárral, vagy az alkalmazás által használt EJB
erőforrás-hivatkozással társított, a WebSphere
Application Server verziójától függően. Az alkalmazáskiszolgáló az
álnévben a felhasználói azonosságot képviselő UTOKEN-t létrehozza és
átadja az IMS TM
erőforrás-illesztő számára.
- A WebSphere Application
Server for z/OS
beállítható az alkalmazás végrehajtási száljához tartozó felhasználói
azonosság lekérdezésére. Az alkalmazáskiszolgáló az adott
felhasználói azonosságot képviselő UTOKEN-t létrehozza és átadja az
IMS
TM erőforrás-illesztő számára.
Az IMS
által elvégzett jogosultságellenőrzés az IMS
/SECURE OTMA parancsa által irányított. Erről
a parancsról további információk a következő fejezetben találhatók:
IMS OTMA útmutató és kézikönyv.
Java2 biztonságkezelő
Az IMS
TM erőforrás-illesztő együttműködik a WebSphere
Application Server Java2 biztonságkezelővel. Az összetevőknek, mint például az
erőforrás-illesztőknek jogosultnak kell lenniük védett feladatok, például
socket hívások végrehajtására. Az IMS TM
erőforrás-illesztő már jogosult ezen feladatok elvégzésére.
Védett socket réteg (SSL) kommunikáció
Ha
megfelelően konfiguráltak, akkor az IMS TM
erőforrás-illesztő és az IMS
Connect használni tudja a TCP/IP Védett socket réteg (SSL) protokollját a
köztük meglévő kommunikáció biztonságossá tételére.
Az SSL
kapcsolatok sokkal biztonságosabbak, mint a normál, nem SSL TCP/IP
kapcsolat, amely hitelesítést biztosít az IMS
Connect kiszolgáló és opcionálisan az IMS
TM erőforrás-illesztő ügyfél számára. Az SSL kapcsolatokon áthaladó
üzenetek titkosíthatók is
Az SSL nulltitkosítással köztes
biztonsági szintet nyújt, amelyben a hitelesítés megvalósul, de az
üzenetek nem titkosítottak. Az SSL nulltitkosítás kompromisszumot képvisel
a titkosított kommunikáció magasabb biztonsága és alacsonyabb
áteresztőképessége, valamint a nem titkosított SSL kommunikáció
alacsonyabb biztonsága és magasabb áteresztőképessége között. A nem
titkosított SSL kommunikációnak magasabb az áteresztőképessége az IMS
TM erőforrás-illesztő és az IMS
Connect között átvitt üzenetek titkosítása által igényelt többletterhelés
elhagyása miatt.