Bezpieczeństwo adaptera zasobów IMS TM

Adapter zasobów IMS TM (IMS Connector for Java) spełnia wymogi architektury bezpieczeństwa J2C.

Informacje przechowywane w systemie Enterprise Information System (EIS), takim jak system IMS muszą być chronione przed dostępem bez uprawnień. Architektura J2EE Connector Architecture (J2C) określa, że serwer aplikacji i system EIS muszą współpracować w celu zapewnienia, że dostęp do systemu EIS uzyskają tylko uwierzytelnieni użytkownicy. W architekturze bezpieczeństwa J2C, aby uwzględnić integrację z systemami EIS, rozszerzono model bezpieczeństwa na całej trasie dla aplikacji opartych na standardzie J2EE.

Logowanie do systemu EIS

Architektura bezpieczeństwa J2C obsługuje mechanizm uwierzytelniania za pomocą identyfikatora użytkownika i hasła specyficzny dla systemu EIS.

Identyfikator użytkownika i hasło do logowania w docelowym systemie EIS dostarczane są przez komponent aplikacji (logowanie zarządzane przez komponent) lub przez serwer aplikacji (logowanie zarządzane przez kontener).

Dla adaptera zasobów IMS TM docelowym systemem EIS jest system IMS. Dostarczane przez komponent aplikacji lub serwer aplikacji informacje bezpieczeństwa przekazywane są do adaptera zasobów IMS TM, który następnie przekazuje je do produktu IMS Connect. Produkt IMS Connect korzysta z tych informacji podczas uwierzytelniania użytkownika i przekazuje je do programu IMS OTMA. Program IMS OTMA może następnie skorzystać z tych informacji do zweryfikowania autoryzacji dostępu do określonych zasobów systemu IMS.

W typowym środowisku adapter zasobów IMS TM przekazuje otrzymane informacje bezpieczeństwa (identyfikator użytkownika, hasło i opcjonalnie nazwę grupy) do produktu IMS Connect w komunikacie IMS OTMA. W zależności od konfiguracji zabezpieczeń produkt IMS Connect może następnie wywołać narzędzie SAF (Security Authorization Facility) hosta.
  • W przypadku serwera WebSphere Application Server na platformach rozproszonych lub w systemie z/OS z protokołem TCP/IP i z zastosowaniem logowania zarządzanego przez komponent lub kontener:
    • Jeśli dla elementu konfiguracyjnego produktu IMS Connect podano parametr RACF=Y lub wywołano komendę SETRACF ON produktu IMS Connect, produkt IMS Connect wywołuje narzędzie SAF w celu przeprowadzenia uwierzytelniania z wykorzystaniem identyfikatora użytkownika i hasła przekazanego przez produkt IMS Connector for Java w komunikacie OTMA. Jeśli uwierzytelnianie powiedzie się, identyfikator użytkownika, opcjonalna nazwa grupy oraz element UTOKEN zwrócone z narzędzia SAF wywołanego przez produkt IMS Connect przekazywane są do programu IMS OTMA w celu zweryfikowania autoryzacji dostępu do zasobów systemu IMS.
    • Jeśli dla elementu konfiguracyjnego produktu IMS Connect podano parametr RACF=N lub wywołano komendę SETRACF OFF produktu IMS Connect, produkt IMS Connect nie wywołuje narzędzia SAF. Jednak identyfikator użytkownika oraz nazwa grupy, jeśli została określona, nadal są przekazywane do programu IMS OTMA w celu zweryfikowania autoryzacji dostępu do zasobów systemu IMS.
  • Gdy serwer WebSphere Application Server działa w systemie z/OS i stosowany jest protokół Local Option oraz logowanie do systemu EIS zarządzane przez kontener, uwierzytelnianie użytkownika jest wykonywane jedynie przez serwer aplikacji. Nie jest ono wykonywane przez produkt IMS Connect bez względu na ustawienie RACF odczytane z elementu konfiguracyjnego produktu IMS Connect lub będące wynikiem wywołania komendy SETRACF. Serwer WebSphere Application Server for z/OS wywołuje narzędzie RACF, a następnie przekazuje do adaptera zasobów IMS TM element UTOKEN reprezentujący tożsamość użytkownika. Następnie adapter zasobów IMS TM przekazuje element UTOKEN do produktu IMS Connect. Gdy produkt IMS Connect otrzymuje element UTOKEN, nie wywołuje narzędzia SAF, ponieważ oznacza to, że uwierzytelnianie zostało już przeprowadzone przez serwer aplikacji WebSphere Application Server for z/OS. Produkt IMS Connect przekazuje element UTOKEN do programu IMS OTMA w celu zweryfikowania autoryzacji dostępu do zasobów systemu IMS.
  • Tożsamość użytkownika może zostać przekazana do serwera aplikacji na dwa sposoby:
    • Identyfikator użytkownika i hasło mogą zostać podane w aliasie JAAS (Java Authentication and Authorization Service). Alias JAAS jest powiązany z fabryką połączeń używaną przez aplikację, która uzyskuje dostęp do systemu IMS, lub, w zależności od wersji serwera WebSphere Application Server, z używanym przez aplikację odwołaniem do zasobu EJB. Serwer aplikacji tworzy i przekazuje w aliasie do adaptera zasobów IMS TM element UTOKEN reprezentujący tożsamość użytkownika.
    • Serwer WebSphere Application Server for z/OS może zostać skonfigurowany do uzyskiwania tożsamości użytkownika powiązanej z wątkiem wykonywania aplikacji. Serwer aplikacji tworzy i przekazuje do adaptera zasobów IMS TM element UTOKEN reprezentujący tożsamość użytkownika.

Poziom sprawdzania autoryzacji wykonywanego przez system IMS kontroluje się komendą /SECURE OTMA systemu IMS. Więcej informacji dotyczących tej komendy zawiera podręcznik IMS OTMA Guide and Reference.

Menedżer bezpieczeństwa Java2

Adapter zasobów IMS TM współpracuje z Menedżerem bezpieczeństwa Java2 serwera WebSphere Application Server. Komponenty, takie jak adaptery zasobów, muszą mieć uprawnienia do wykonywania zadań chronionych, takich jak wywoływanie gniazd. Adapter zasobów IMS TM ma takie uprawnienia.

Komunikacja SSL (Secure Sockets Layer)

Adapter zasobów IMS TM i produkt IMS Connect, przy odpowiedniej konfiguracji, mogą korzystać z protokołu SSL (Secure Sockets Layer) TCP/IP w celu zabezpieczenia wzajemnej komunikacji.

Połączenia SSL są bardziej bezpieczne niż zwykłe połączenia, nie korzystające z protokołu SSL TCP/IP, ponieważ zapewniają uwierzytelnianie dla serwera IMS Connect i, opcjonalnie, dla klienta adaptera zasobów IMS TM. Komunikaty przepływające w połączeniach SSL mogą być również szyfrowane.

Protokół SSL z szyfrowaniem zerowym zapewnia pośredni poziom bezpieczeństwa, w którym odbywa się uwierzytelnianie, ale komunikaty nie są szyfrowane. Protokół SSL z szyfrowaniem zerowym oferuje kompromis pomiędzy wyższym poziomem ochrony szyfrowanej komunikacji z niższą przepustowością a niższym poziomem ochrony nieszyfrowanej komunikacji SSL z wyższą przepustowością. Nieszyfrowana komunikacja SSL charakteryzuje się wyższą przepustowością z powodu wyeliminowania narzutu niezbędnego do zaszyfrowania każdego komunikatu, który przepływa między adapterem zasobów IMS TM a produktem IMS Connect.

Pojęcia pokrewne
Logowanie do systemu EIS zarządzane przez kontener
Logowanie do systemu EIS zarządzane przez komponent
Protokół SSL (Secure Sockets Layer)

Opinie