Autorización de SAF (z/OS System Authorization Facility)

Utilice esta página para configurar SAF (System Authorization Facility) y las propiedades de autorización SAF.

Para habilitar la autorización SAF:
  1. Pulse Seguridad > Seguridad global > Proveedor de autorización externo.
  2. Pulse el botón de selección SAF (System Authorization Facility).
  3. Para configurar las opciones de autorización SAF, pulse Opciones de autorización SAF. Las opciones de autorización SAF son para usuarios no autenticados y para la supresión de mensajes EJBROLE de SAF.

Las propiedades comunes para usuario autenticado, autorización SAF y supresión del mensaje SAF EJBROLE han dejado de ser propiedades personalizadas.

ID de usuario no autenticado

Especifica el ID de usuario MVS que se utiliza para representar solicitudes de servlet sin proteger cuando se especifica autorización SAF o se configura un registro de sistema operativo local. Este ID de usuario debe tener un máximo de ocho caracteres.

Esta definición de propiedad se utiliza en las instancias siguientes:
  • Para la autorización si un servlet sin proteger invoca un bean de entidad
  • Para la identificación de un servlet sin proteger para invocar un conector z/OS como por ejemplo CICS CICS (Customer Information Control System) o IMS (Information Management System), que utilizan una identidad actual cuando res-auth=container
  • Cuando se intenta una función de sincronización con la hebra del sistema operativo iniciada por la aplicación
Para obtener más información, consulte los artículos siguientes del centro de información:
  • Descripción del Permiso de sincronización con la hebra de OS de la aplicación
  • Cuándo se debe utilizar el Permiso de sincronización con la hebra de OS de la aplicación
Correlacionador de perfiles SAF

Especifica el nombre del perfil EJBRole de SAF para el que se correlaciona un nombre de rol de J2EE (Java 2 Platform, Enterprise Edition). El nombre que especifique implementa la interfaz com.ibm.websphere.security.SAFRoleMapper.

Para obtener más información, consulte Developing a custom SAF EJB role mapper

Autorización

Especifica que se utilizan los perfiles SAF EJBROLE para la autorización de usuario con roles para las aplicaciones de Java 2 Platform, Enterprise Edition y las solicitudes de autorización basada en roles (denominación y administración) que están asociadas con la ejecución del servidor de aplicaciones.

Si el registro se ha configurado como LDAP (Lightweight Access Directory Protocol) o Personalizado y se especifica una autorización SAF, es necesaria una correlación a un principal z/OS en cada inicio de sesión para todos los métodos protegidos que deban ejecutarse:
  • Si el mecanismo de autenticación es LTPA (Lightweight Third Party Authentication), se recomienda actualizar todas las siguientes entradas de configuración de modo que incluyan una correlación a un principal z/OS válido (como WEB_INBOUND, RMI_INBOUND y DEFAULT).
  • Si el mecanismo de autenticación es SWAM (Simple WebSphere Authentication Mechanism), debe actualizar la entrada de configuración SWAM de modo que incluya una correlación a un principal z/OS válido.
Habilitar la delegación SAF

Especifica que se asigne a las definiciones de EJBROLE SAF la identidad de usuario de MVS, que pasa a ser la identidad activa cuando selecciona el rol RunAs especificado.

Seleccione la opción Habilitar la delegación SAF sólo si selecciona la opción Habilitar autorización SAF como proveedor de autorización externo.

Suprimir mensajes de auditoría RACF EJBRole

Especifica si los mensajes ICH408I se activan o desactivan.

SMF (System Management Facility) registra las violaciones de acceso independientemente del valor especificado para esta nueva propiedad. Esta propiedad influye en la generación de mensajes de violación de acceso tanto para los roles definidos por la aplicación como para los roles definidos por la ejecución del servidor de aplicaciones para los subsistemas administrativos y de denominación. Las comprobaciones del perfil EJBROLE se efectúan tanto para las comprobaciones declarativas y programáticas:
  • Las comprobaciones declarativas se codifican como restricciones de seguridad en las aplicaciones web y los descriptores de despliegue se codifican como restricciones de seguridad en los archivos EJB (Enterprise JavaBeans). Esta propiedad no se utiliza para controlar los mensajes en este caso. En su lugar, se admite un conjunto de roles, y si se produce una violación de acceso, un mensaje de violación de acceso ICH408I indica una anomalía para uno de los roles. A continuación, SMF anota cronológicamente una única violación de acceso para ese rol.
  • Las comprobaciones de lógica de programa o comprobaciones de acceso se realizan mediante el método isCallerinRole(x) programado para beans de empresa o isUserInRole(x) para las aplicaciones web. La propiedad com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress controla los mensajes generados por esta llamada.

Para obtener más información sobre la autorización SAF, consulte "Control de acceso a los usuarios por parte de los usuarios cuando se utiliza un registro OS local" en el centro de información. Para obtener más información sobre los roles administrativos, consulte "Roles de administración" en el centro de información.

Nota: Cuando se utiliza una autorización de terceros como, por ejemplo, Tivoli Access Manager o SAF para z/OS, es posible que la información de este panel no represente los datos del proveedor. Asimismo, es posible que cualquier modificación de este panel no quede reflejada en el proveedor de forma automática. Siga las instrucciones del proveedor para propagar cualquier modificación del proveedor realizada aquí.
Valor predeterminado: Inhabilitado, lo que no suprime los mensajes.
Estrategia de registro de la auditoría SMF

Determina cuando un registro de auditoría se ha escrito en SMF (System Management Facility). En cada llamada de autorización, RACF o un producto basado en SAF equivalente puede escribir un registro de auditoría en SMF con el resultado de la comprobación de autorización.

WebSphere Application Server para z/OS utiliza las operaciones SAF RACROUTE AUTH y RACROUTE FASTAUTH y pasa la opción LOG que se especifica en la configuración de seguridad. Las opciones son DEFAULT, ASIS, NOFAIL y NONE.

Están disponibles las opciones siguientes:
DEFAULT

Cuando se especifican varias restricciones de rol, como que un usuario debe estar en alguno de los roles de un conjunto, todos los roles excepto el último rol se verifican con la opción NOFAIL. Si se otorga la autorización en uno de los roles anterior al último rol, WebSphere Application Server escribe un registro de autorización satisfactoria. Si la autorización no es satisfactoria en estos roles, el último rol se verifica con la opción de anotación cronológica ASIS. Si el usuario tiene autorización para el último rol, puede escribirse un registro satisfactorio. Si el usuario no tiene autorización, puede escribirse un registro de anomalía.

ASIS
Especifica que los sucesos de auditoría se registran de la forma que se especifica en el perfil que protege el recurso o en el tema especificado por las opciones SETROPTS.
NOFAIL
Especifica que no se registran las anomalías. Los mensajes de anomalía en la autorización no se emiten, pero los registros de auditoría de autorización satisfactoria pueden escribirse.
NONE
Especifica que no se registran ni las operaciones satisfactorias ni las anómalas.

Sólo se escribe un registro de anomalía en la autorización para una comprobación de autorización J2EE anómala incluso si se han realizado varias llamadas de autorización SAF. Si desea más información sobre las opciones LOG para RACROUTE AUTH y RACROUTE FASTAUTH de SAF, consulte la documentación del producto de RACF o de un producto basado en SAF equivalente.

Prefijo de perfil SAF

Especifica un prefijo que se añadirá a todos los perfiles SAF EJBROLE utilizados para los roles Java EE. Este prefijo se utiliza también como nombre de perfil APPL y se inserta en el nombre de perfil utilizado para las comprobaciones CBIND. No existe un valor predeterminado para el campo Prefijo de perfil SAF. Si no se especifica explícitamente un prefijo, no se añadirá ningún prefijo a los perfiles SAF EJBROLE, se utilizará el valor predeterminado CBS390 como nombre de perfil APPL y no se insertará nada en el nombre de perfil de las comprobaciones CBIND.




Los enlaces marcados (en línea) requieren acceso a Internet.

Conceptos relacionados
Tareas relacionadas
Referencia relacionada


Nombre de fichero: usec_safpropszos.html