Adapter zasobów IMS TM
(IMS Connector for Java) spełnia wymogi architektury bezpieczeństwa J2C.
Informacje przechowywane w systemie Enterprise Information System (EIS), takim jak system IMS muszą być chronione przed dostępem bez uprawnień. Architektura J2EE Connector Architecture (J2C) określa, że serwer aplikacji i system EIS muszą współpracować w celu zapewnienia, że dostęp do systemu
EIS uzyskają tylko uwierzytelnieni użytkownicy. W architekturze bezpieczeństwa J2C, aby uwzględnić integrację z systemami EIS, rozszerzono model bezpieczeństwa na całej trasie dla aplikacji opartych na standardzie J2EE.
Logowanie do systemu EIS
Architektura bezpieczeństwa J2C obsługuje mechanizm uwierzytelniania za pomocą identyfikatora użytkownika i hasła specyficzny dla systemu EIS.
Identyfikator użytkownika
i hasło do logowania w docelowym systemie EIS dostarczane są przez komponent
aplikacji (logowanie zarządzane przez
komponent) lub przez serwer aplikacji (logowanie zarządzane przez
kontener).
Dla adaptera zasobów IMS TM docelowym systemem EIS jest system IMS. Dostarczane przez komponent aplikacji lub serwer aplikacji informacje bezpieczeństwa
przekazywane są do adaptera zasobów IMS TM, który następnie przekazuje je do produktu
IMS Connect. Produkt IMS Connect
korzysta z tych informacji podczas uwierzytelniania użytkownika i przekazuje je do programu IMS OTMA. Program IMS OTMA może następnie skorzystać z tych informacji do zweryfikowania autoryzacji dostępu do określonych zasobów systemu IMS.
W
typowym środowisku adapter zasobów IMS TM przekazuje otrzymane informacje bezpieczeństwa
(identyfikator użytkownika, hasło i opcjonalnie nazwę grupy) do produktu IMS Connect w
komunikacie IMS OTMA. W zależności od konfiguracji zabezpieczeń produkt IMS Connect może następnie wywołać narzędzie SAF (Security
Authorization Facility) hosta.
- W przypadku serwera WebSphere Application
Server na platformach rozproszonych lub w systemie z/OS z protokołem TCP/IP i z zastosowaniem logowania zarządzanego przez komponent lub kontener:
- Jeśli dla elementu konfiguracyjnego produktu IMS Connect podano parametr RACF=Y lub wywołano komendę SETRACF ON produktu IMS Connect, produkt IMS Connect wywołuje narzędzie
SAF w celu przeprowadzenia uwierzytelniania z wykorzystaniem identyfikatora użytkownika i hasła przekazanego przez produkt IMS Connector
for Java w
komunikacie OTMA. Jeśli uwierzytelnianie powiedzie się, identyfikator użytkownika, opcjonalna nazwa grupy
oraz element UTOKEN zwrócone z narzędzia SAF wywołanego przez produkt IMS Connect przekazywane są do programu IMS OTMA w celu zweryfikowania autoryzacji dostępu do zasobów systemu IMS.
- Jeśli dla elementu konfiguracyjnego produktu IMS Connect podano parametr RACF=N lub wywołano komendę SETRACF OFF produktu IMS Connect,
produkt IMS Connect nie wywołuje
narzędzia SAF. Jednak identyfikator użytkownika oraz nazwa grupy, jeśli została określona, nadal są
przekazywane do programu IMS OTMA
w celu zweryfikowania autoryzacji dostępu do zasobów systemu IMS.
- Gdy serwer WebSphere Application
Server działa w systemie z/OS i stosowany jest protokół
Local Option oraz logowanie do systemu EIS zarządzane przez kontener, uwierzytelnianie użytkownika jest wykonywane
jedynie przez serwer aplikacji. Nie jest ono wykonywane przez produkt IMS Connect bez względu na ustawienie RACF odczytane
z elementu konfiguracyjnego produktu IMS Connect
lub będące wynikiem wywołania komendy SETRACF. Serwer WebSphere Application
Server for z/OS wywołuje narzędzie RACF,
a następnie przekazuje do adaptera zasobów IMS TM
element UTOKEN reprezentujący tożsamość użytkownika. Następnie adapter zasobów IMS TM
przekazuje element UTOKEN do produktu IMS Connect. Gdy produkt IMS Connect otrzymuje element UTOKEN, nie wywołuje
narzędzia SAF, ponieważ oznacza to, że uwierzytelnianie zostało już przeprowadzone przez serwer aplikacji
WebSphere Application
Server for z/OS. Produkt IMS Connect
przekazuje element UTOKEN do programu IMS OTMA w celu zweryfikowania autoryzacji dostępu do zasobów systemu IMS.
- Tożsamość użytkownika może zostać przekazana do serwera aplikacji na dwa
sposoby:
- Identyfikator użytkownika i hasło mogą zostać podane w aliasie JAAS (Java Authentication and Authorization Service). Alias JAAS jest powiązany z fabryką połączeń używaną przez
aplikację, która uzyskuje dostęp do systemu IMS, lub, w zależności od wersji serwera WebSphere Application Server, z używanym przez aplikację odwołaniem do zasobu EJB. Serwer aplikacji
tworzy i przekazuje w aliasie do adaptera zasobów IMS TM element UTOKEN reprezentujący tożsamość użytkownika.
- Serwer WebSphere Application
Server for z/OS może zostać skonfigurowany do uzyskiwania tożsamości użytkownika powiązanej z wątkiem wykonywania
aplikacji. Serwer aplikacji tworzy i przekazuje do adaptera zasobów IMS TM element UTOKEN reprezentujący
tożsamość użytkownika.
Poziom sprawdzania autoryzacji wykonywanego przez system IMS kontroluje się
komendą /SECURE OTMA systemu IMS. Więcej informacji dotyczących tej komendy zawiera podręcznik IMS OTMA Guide and Reference.
Menedżer bezpieczeństwa Java2
Adapter zasobów IMS TM współpracuje z Menedżerem bezpieczeństwa Java2 serwera WebSphere Application
Server. Komponenty, takie jak adaptery zasobów, muszą mieć uprawnienia do wykonywania zadań chronionych, takich jak wywoływanie gniazd. Adapter zasobów IMS TM
ma takie uprawnienia.
Komunikacja SSL (Secure Sockets Layer)
Adapter zasobów IMS TM
i produkt IMS Connect, przy odpowiedniej konfiguracji, mogą korzystać z protokołu SSL (Secure Sockets Layer)
TCP/IP w celu zabezpieczenia wzajemnej komunikacji.
Połączenia SSL są bardziej bezpieczne niż zwykłe połączenia, nie korzystające z protokołu SSL
TCP/IP, ponieważ zapewniają uwierzytelnianie dla serwera IMS Connect i, opcjonalnie, dla klienta adaptera zasobów IMS TM. Komunikaty przepływające w połączeniach SSL
mogą być również szyfrowane.
Protokół SSL z szyfrowaniem zerowym zapewnia
pośredni poziom bezpieczeństwa, w którym odbywa się uwierzytelnianie, ale komunikaty
nie są szyfrowane. Protokół SSL z szyfrowaniem zerowym oferuje kompromis pomiędzy
wyższym poziomem ochrony szyfrowanej komunikacji z niższą przepustowością a niższym poziomem ochrony
nieszyfrowanej komunikacji SSL z wyższą przepustowością. Nieszyfrowana komunikacja SSL
charakteryzuje się wyższą przepustowością z powodu wyeliminowania narzutu niezbędnego
do zaszyfrowania każdego komunikatu, który przepływa między adapterem zasobów IMS TM a produktem IMS Connect.