Verwenden Sie diese Seite, um System Authorization Facility (SAF) und die Eigenschaften für SAF-Berechtigung zu konfigurieren.
Die allgemeinen Eigenschaften für nicht authentifizierte Benutzer, SAF-Berechtigung und die Nachrichtenunterdrückung für SAF EJBROLE sind keine angepassten Eigenschaften mehr.
Gibt die MVS-Benutzer-ID an, die ungeschützte Servlet-Anforderungen repräsentiert, wenn die SAF-Berechtigung angegeben ist oder eine LocalOS-Registry konfiguriert wird. Diese Benutzer-ID kann maximal 8 Zeichen lang sein.
Gibt den Namen des SAF-EJBRole-Profils an, dem ein J2EE-Rollenname zugeordnet wird. Der Name, den Sie angeben, implementiert die Schnittstelle "com.ibm.websphere.security.SAFRoleMapper".
Weitere Informationen finden Sie im Artikel Angepassten Mapper für SAF-EJB-Rollen entwickeln.
Gibt an, dass SAF-EJBROLE-Profile für J2EE-Anwendungen und rollebasierte Berechtigungsanforderungen (Benennung und Administration) in der Laufzeitumgebung des Anwendungsservers verwendet werden, um Benutzer für Rollen zu berechtigen.
Diese Eigenschaft gibt an, dass SAF-EJBROLE-Definitionen festlegen, welche MVS-Benutzer-ID zur aktiven Identität wird, wenn Sie die angegebene RunAs-Rolle auswählen.
Wählen Sie die Option SAF-Delegierung aktivieren nur aus, wenn Sie die Option SAF-Berechtigung aktivieren als externen Berechtigungsprovider auswählen.
Gibt an, ob ICH408I-Nachrichten aktiviert oder inaktiviert sind.
Weitere Informationen zur SAF-Berechtigung finden Sie im Information Center in dem Artikel, der sich befasst mit der Steuerung des Zugriffs auf die Konsolbenutzer bei Verwendung einer LocalOS-Registry. Nähere Informationen zu Verwaltungsrollen finden Sie im entsprechenden Artikel im Information Center.
Standardeinstellung | Inaktiviert, d. h., Nachrichten werden nicht unterdrückt. |
Bestimmt, wann ein Prüfsatz in System Management Facility (SMF) geschrieben wird. Bei jedem Berechtigungsaufruf kann RACF oder ein entsprechendes SAF-basiertes Produkt einen Prüfsatz mit dem Ergebnis der Berechtigungsprüfung in SMF schreiben.
WebSphere Application Server for z/OS verwendet die Operationen SAF RACROUTE AUTH und RACROUTE FASTAUTH und übergibt die Option LOG, die in der Sicherheitskonfiguration angegeben ist. Die Optionen sind DEFAULT, ASIS, NOFAIL und NONE.
Wenn mehrere Rollenvorgaben angegeben sind, z. B. der Benutzer muss einer von mehreren Rollen zugeordnet sein, werden alle Rollen mit Ausnahme der letzten markiert, wenn die Option NOFAIL angegeben ist. Wenn die Berechtigung in einer der Rollen vor der letzten erteilt wurde, schreibt WebSphere Application Server einen Erfolgsdatensatz zur Berechtigung. Falls die Berechtigung für keine dieser Rollen erfolgreich verläuft, wird die letzte Rolle mit der Protokolloption ASIS markiert. Wenn der Benutzer die Berechtigung für die letzte Rolle besitzt, wird unter Umständen ein Erfolgsdatensatz geschrieben. Wenn der Benutzer nicht berechtigt ist, kann ein Fehlerdatensatz geschrieben werden.
Es wird nur ein Fehlerdatensatz für eine fehlgeschlagene J2EE-Berechtigungsprüfung geschrieben, wenn mehrere SAF-Berechtigungsaufrufe abgesetzt werden. Weitere Informationen zu den LOG-Optionen für SAF RACROUTE AUTH und RACROUTE FASTAUTH finden Sie in der Dokumentation zu RACF oder einem entsprechenden SAF-basierten Produkt.
Gibt ein Präfix an, das allen SAF-EJBROLE-Profilen hinzugefügt werden soll, die für Java-EE-Rollen verwendet werden. Außerdem wird dieses Präfix als APPL-Profilname verwendet und in den Profilnamen eingefügt, der für CBIND-Prüfungen verwendet wird. Es gibt keinen Standardwert für das Feld "Präfix für SAF-Profile". Wenn kein Präfix explizit angegeben wird, wird den SAF-EJBROLE-Profilen kein hinzufügt. Stattdessen wird der Standardwert CBS390 als APPL-Profilname verwendet, und dem Profilnamen wird keine Angabe für CBIND-Prüfungen hinzugefügt.
Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.