Nastavení externího poskytovatele autorizace

Tato stránka slouží k povolení poskytovatele JACC (Java Authorization Contract for Containers) pro rozhodování o autorizaci.

Chcete-li zobrazit tuto stránku konzoly pro správu, postupujte podle následujících kroků:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. Klepněte na volbu Externí poskytovatelé autorizace.

Aplikační server poskytuje výchozí jádro autorizace, které provádí všechna rozhodnutí o autorizaci. Dále aplikační server podporuje externího poskytovatele autorizace pomocí specifikace JACC k nahrazení výchozího jádra autorizace pro aplikace J2EE (Java 2 Platform, Enterprise Edition).

Specifikace JACC je součástí specifikace Java EE, která poskytovatelům zabezpečení jiných dodavatelů, například Tivoli Access Manager, umožňuje připojení k aplikačnímu serveru a provádění rozhodnutí o autorizaci.

Důležité: Pokud nemáte externího poskytovatele JACC nebo pokud nechcete používat poskytovatele JACC pro správce Tivoli Access Manager, který dokáže zpracovávat autorizace Java EE založené na specifikaci JACC a je konfigurován a nastaven pro aplikační server, nepovolujte volbu Externí autorizace pomocí poskytovatele JACC.
Autorizace SAF (System Authorization Facility) [z/OS]

Tato volba slouží k určení, že k autorizaci uživatelů pro role u aplikací Java 2 Platform, Enterprise Edition (Java EE) i u autorizačních požadavků založených na rolích (požadavky na pojmenovávání a administraci) asociovaných s běhovou komponentou aplikačního serveru budou použity profily SAF EJBROLE. Tato volba je k dispozici v případě, že prostředí obsahuje pouze uzly systému z/OS.

Důležité: Po výběru této volby produkt WebSphere Application Server používá k autorizaci zásadu autorizace uloženou v produktu zabezpečení systému z/OS.
Pokud je konfigurován registr protokolu LADP (Lightweight Access Directory Protocol) nebo vlastní registr a zadána autorizace SAF, je při každém přihlášení pro každou chráněnou metodu vyžadováno spuštění mapování na činitele z/OS:
  • Pokud se používá mechanizmus ověřování LTPA (Lightweight Third Party Authentication), doporučuje se za účelem začlenění mapování na platného činitele systému z/OS aktualizovat všechny následující položky konfigurace (například WEB_INBOUND, RMI_INBOUND a DEFAULT).
  • Pokud je mechanismem ověřování SWAM (Simple WebSphere Authentication Mechanism), musíte aktualizovat položky konfigurace SWAM, aby bylo zahrnuto mapování na platného činitele z/OS.
    Poznámka: Mechanismus SWAM není vyhovující a bude v příští verzi odebrán.

Klepnutím na tlačítko Autorizace SAF systému z/OS v části Související položky můžete povolit několik vlastností autorizace SAF. Můžete přidat hodnotu vlastnosti com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress. Pomocí této vlastnosti lze aktivovat nebo deaktivovat zprávy ICH408I. Výchozí hodnotou pro tuto vlastnost je hodnota false, při jejímž zadání nejsou potlačovány zprávy. Pokud chcete potlačit zobrazování zpráv ICH408I, zadejte pro tuto vlastnost hodnotu true.

Tato vlastnost ovlivňuje generování zpráv týkajících se porušení přístupu pro role definované aplikacemi i pro role definované běhovým modulem aplikačního serveru pro subsystémy správy a pojmenovávání. Tato vlastnost nemá vliv na záznamy SMF (System Management Facility). Kontroly profilů EJBROLE se provádějí jak u deklarativních ((deskriptory zavedení), tak u programových kontrol:
  • Deklarativní kontroly se kódují jako omezení zabezpečení ve webových aplikacích, zatímco deskriptory zavedení se kódují jako omezení zabezpečení v objektech enterprise bean. Tato vlastnost není v tomto případě používána k řízení zpráv. Namísto toho je povolena sada rolí, a pokud dojde k porušení přístupu, bude selhání některé z rolí označeno zprávou ICH408I o porušení přístupu. Prostředek SMF poté do protokolu zaznamená jediné porušení přístupu (pro danou roli).
  • Kontroly logiky programu (nebo kontroly přístupu) se provádějí s využitím programovací metody isCallerinRole(x) pro objekty enterprise bean nebo metody isUserInRole(x) u webových aplikací. Metody, které jsou generovány tímto voláním, řídí vlastnost com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.
Externí poskytovatel JACC

Tento odkaz slouží ke konfiguraci aplikačního serveru, aby používal externího poskytovatele JACC. Chcete-li například konfigurovat externího poskytovatele JACC, specifikace JACC vyžaduje název třídy zásady a název třídy faktorie pro konfigurování zásad.

Výchozí nastavení obsažená v tomto odkazu používá k rozhodnutím o autorizaci správce Tivoli Access Manager. Máte-li v úmyslu použít jiného poskytovatele, upravte nastavení odpovídajícím způsobem.

Neaktualizovat poskytovatele

Určuje, že zásady zabezpečení a role nebudou šířeny pro externí poskytovatele JACC.

Aktualizovat pomocí všech aplikací

Určuje, že pro všechny aplikace budou zásady zabezpečení a role šířeny pro externí poskytovatele JACC.

Aktualizovat vypsané názvy aplikací

Určuje, že pro vybrané aplikace budou zásady zabezpečení a role šířeny pro externí poskytovatele JACC.

Karta Konfigurace

Integrovaná autorizace

Tuto volbu používejte vždy, mimo případy, kdy chcete, aby externí poskytovatel zabezpečení, jako například správce Tivoli Access Manager, prováděl rozhodnutí o autorizaci aplikací Java EE založených na specifikaci JACC.

Výchozí hodnota: Povoleno



Odkazy s označením (online) vyžadují přístup k Internetu.

Související úlohy
Související odkazy
Nastavení externího poskytovatele JACC (Java Authorization Contract for Containers)
[z/OS] Autorizace systémového ověřovacího zařízení systému z/OS


Název souboru: usec_jaccprovider.html