Wenn Sie diese Option verwenden, werden SAF-EJBROLE-Profile verwendet, um Benutzer für Rollen zu berechtigen. Diese Berechtigungen werden für Java-EE-Anwendungen und die der Laufzeitumgebung
des Anwendungsservers zugeordneten rollenbasierten Berechtigungsverfahren verwendet.
Diese Option ist verfügbar, wenn Ihre Anwendung nur z/OS-Knoten enthält.
Wichtig: Wenn Sie diese Option auswählen, verwendet WebSphere Application
Server die Berechtigungsrichtlinie, die im z/OS-Sicherheitsprodukt für Berechtigung gespeichert ist.
Wenn eine LDAP-Registry oder eine angepasste Registry konfiguriert und die SAF-Autorisierung angegeben ist,
muss bei jeder Anmeldung eine Zuordnung zu einem z/OS-Principal erfolgen, um geschützte Methoden ausführen zu können.
Sie können die verschiedene SAF-Berechtigungseigenschaften durch Anklicken von SAF-Berechtigungsoptionen unter
"Zugehörige Elemente" aktivieren. Sie können mit der Eigenschaft
"com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress" einen Wert hinzufügen. Setzen Sie diese Eigenschaft,
um ICH408I-Nachrichten zu aktivieren oder zu inaktivieren. Der Standardwert für diese Eigenschaft ist
"false", so dass Nachrichten nicht unterdrückt werden. Sie können diesen Wert in "true"
ändern, wenn Sie die ICH408I-Nachrichten unterdrücken möchten.
Diese Eigenschaft
wirkt sich auf die Generierung von Zugriffsverletzungsnachrichten für
anwendungsdefinierte Rollen und für Rollen der
WAS-Laufzeitumgebung des Benennungs- und des Verwaltungssubsystems aus. SMF-Datensätze (System Management Facility) werden
von dieser Eigenschaft nicht beeinflusst. Das EJBROLE-Profil wird sowohl im Rahmen deklarativer
(Implementierungsdeskriptoren) als auch im Rahmen
programmgesteuerter Prüfungen überprüft:
- Deklarative Überprüfungen sind als Sicherheitseinschränkungen in Webanwendungen codiert und
Implementierungsdeskriptoren sind als Sicherheitseinschränkungen in Enterprise-Beans codiert. In diesem Fall wird die
Eigenschaft nicht für die Steuerung von Nachrichten verwendet.
Statt dessen werden einige Rollen berechtigt. Sollte eine Zugriffsschutzverletzung auftreten, wird eine ICH408I-Nachricht
generiert, die einen Fehler für eine der Rollen anzeigt. SMF
protokolliert dann eine Zugriffsverletzung
(für diese Rolle).
- Programmlogikprüfungen (oder Zugriffsprüfungen) werden mit
isCallerinRole(x) für Enterprise-Bean-Anwendungen oder isUserInRole(x) für Webanwendungen durchgeführt.
Die Eigenschaft "com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress" steuert die von
diesem Aufruf generierten Nachrichten.