Einstellungen für externe Berechtigungsprovider

Verwenden Sie diese Seite, um einen JACC-Provider (Java Authorization Contract for Containers) für Berechtigungsentscheidungen zu aktivieren.

Führen Sie zum Anzeigen dieser Seite der Administrationskonsole die folgenden Schritte aus:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie auf Externe Berechtigungsprovider.

Der Anwendungsserver stellt eine Steuerkomponente für Standardberechtigungen bereit, die alle Berechtigungsentscheidungen trifft. Außerdem unterstützt der Anwendungsserver einen externen Berechtigungsprovider mit der JACC-Spezifikation, die die Steuerkomponente für Standardberechtigungen für Java-EE-Anwendungen ersetzt.

JACC ist im Rahmen der Java-EE-Spezifikation definiert und unterstützt die Einbindung von Sicherheitsprovidern von Fremdanbietern wie Tivoli Access Manager als Plug-in für Berechtigungsentscheidungen im Anwendungsserver.

Wichtig: Wählen Sie die Option Externe Berechtigung mit einem JACC-Provider nur aus, wenn Sie einen externen JACC-Provider haben oder einen JACC-Provider für Tivoli Access Manager verwenden möchten, der Java-EE-Berechtigungen auf der Basis von JACC verarbeiten kann und für den Anwendungsserver konfiguriert ist.
SAF-Berechtigung (System Authorization Facility) [z/OS]

Wenn Sie diese Option verwenden, werden SAF-EJBROLE-Profile verwendet, um Benutzer für Rollen zu berechtigen. Diese Berechtigungen werden für Java-EE-Anwendungen und die der Laufzeitumgebung des Anwendungsservers zugeordneten rollenbasierten Berechtigungsverfahren verwendet. Diese Option ist verfügbar, wenn Ihre Anwendung nur z/OS-Knoten enthält.

Wichtig: Wenn Sie diese Option auswählen, verwendet WebSphere Application Server die Berechtigungsrichtlinie, die im z/OS-Sicherheitsprodukt für Berechtigung gespeichert ist.
Wenn eine LDAP-Registry oder eine angepasste Registry konfiguriert und die SAF-Autorisierung angegeben ist, muss bei jeder Anmeldung eine Zuordnung zu einem z/OS-Principal erfolgen, um geschützte Methoden ausführen zu können.
  • Wenn als Authentifizierungsverfahren LTPA (Lightweight Third Party Authentication) verwendet wird, sollten Sie die folgenden Konfigurationseinträge aktualisieren, so dass diese eine Zuordnung zu einem gültigen z/OS-Principal (wie WEB_INBOUND, RMI_INBOUND und DEFAULT) enthalten.
  • Wenn als Authentifizierungsverfahren SWAM (Simple WebSphere Authentication Mechanism) verwendet wird, müssen Sie die SWAM-Konfiguration ändern, so dass diese eine Zuordnung zu einem gültigen z/OS-Principal enthält.
    Anmerkung: SWAM ist veraltet und wird in einem der künftigen Releases entfernt.

Sie können die verschiedene SAF-Berechtigungseigenschaften durch Anklicken von SAF-Berechtigungsoptionen unter "Zugehörige Elemente" aktivieren. Sie können mit der Eigenschaft "com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress" einen Wert hinzufügen. Setzen Sie diese Eigenschaft, um ICH408I-Nachrichten zu aktivieren oder zu inaktivieren. Der Standardwert für diese Eigenschaft ist "false", so dass Nachrichten nicht unterdrückt werden. Sie können diesen Wert in "true" ändern, wenn Sie die ICH408I-Nachrichten unterdrücken möchten.

Diese Eigenschaft wirkt sich auf die Generierung von Zugriffsverletzungsnachrichten für anwendungsdefinierte Rollen und für Rollen der WAS-Laufzeitumgebung des Benennungs- und des Verwaltungssubsystems aus. SMF-Datensätze (System Management Facility) werden von dieser Eigenschaft nicht beeinflusst. Das EJBROLE-Profil wird sowohl im Rahmen deklarativer (Implementierungsdeskriptoren) als auch im Rahmen programmgesteuerter Prüfungen überprüft:
  • Deklarative Überprüfungen sind als Sicherheitseinschränkungen in Webanwendungen codiert und Implementierungsdeskriptoren sind als Sicherheitseinschränkungen in Enterprise-Beans codiert. In diesem Fall wird die Eigenschaft nicht für die Steuerung von Nachrichten verwendet. Statt dessen werden einige Rollen berechtigt. Sollte eine Zugriffsschutzverletzung auftreten, wird eine ICH408I-Nachricht generiert, die einen Fehler für eine der Rollen anzeigt. SMF protokolliert dann eine Zugriffsverletzung (für diese Rolle).
  • Programmlogikprüfungen (oder Zugriffsprüfungen) werden mit isCallerinRole(x) für Enterprise-Bean-Anwendungen oder isUserInRole(x) für Webanwendungen durchgeführt. Die Eigenschaft "com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress" steuert die von diesem Aufruf generierten Nachrichten.
Externer JACC-Provider

Verwenden Sie diesen Link, um die Verwendung eines externen JACC-Providers im Anwendungsserver zu konfigurieren. Beispielsweise sind gemäß JACC-Spezifikation zur Konfiguration eines externen JACC-Providers der Klassenname der Richtlinie und der Klassenname der Richtlinienkonfigurations-Factory erforderlich.

Die unter diesem Link angezeigten Standardeinstellungen werden von Tivoli Access Manager für Berechtigungsentscheidungen verwendet. Wenn Sie einen anderen Provider verwenden möchten, ändern Sie die Einstellungen entsprechend.

Provider nicht aktualisieren

Gibt an, dass Sicherheitsrichtlinien und Rollen nicht an den externen JACC-Provider weitergegeben werden.

Mit allen Anwendungen aktualisieren

Gibt an, dass Sicherheitsrichtlinien und Rollen für alle Anwendungen an den externen JACC-Provider weitergegeben werden.

Anwendung im Cluster aktualisieren

Gibt diese Option für die ausgewählten Anwendungen an. Sicherheitsrichtlinien und Rollen werden an den externen JACC-Provider weitergegeben.

Register 'Konfiguration'

Integrierte Berechtigung

Wählen Sie diese Option immer aus, sofern Sie keinen externen Sicherheitsprovider wie Tivoli Access Manager verwenden möchten, der die Berechtigungsentscheidung für Java-EE-Anwendungen treffen soll, die auf der JACC-Spezifikation basieren.

Standardeinstellung Aktiviert



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Einstellungen für den externen JACC-Provider (Java Authorization Contract for Containers)
[z/OS] z/OS-SAF-Berechtigung


Dateiname: usec_jaccprovider.html