z/OS-SAF-Berechtigung

Verwenden Sie diese Seite, um System Authorization Facility (SAF) und die Eigenschaften für SAF-Berechtigung zu konfigurieren.

Gehen Sie zum Aktivieren der SAF-Berechtigung wie folgt vor:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit > Externer Berechtigungsprovider.
  2. Klicken Sie auf das Optionsfeld System Authorization Facility (SAF).
  3. Klicken Sie zum Konfigurieren der SAF-Berechtigungsoptionen auf SAF-Berechtigungsoptionen. Die SAF-Berechtigungsoptionen sind für nicht authentifizierte Benutzer und für die Unterdrückung von SAF-EJBROLE-Nachrichten bestimmt.

Die allgemeinen Eigenschaften für nicht authentifizierte Benutzer, SAF-Berechtigung und die Nachrichtenunterdrückung für SAF EJBROLE sind keine angepassten Eigenschaften mehr.

Nicht authentifizierte Benutzer-ID

Gibt die MVS-Benutzer-ID an, die ungeschützte Servlet-Anforderungen repräsentiert, wenn die SAF-Berechtigung angegeben ist oder eine LocalOS-Registry konfiguriert wird. Diese Benutzer-ID kann maximal 8 Zeichen lang sein.

Diese Eigenschaftsdefinition wird für Folgendes verwendet:
  • Für die Berechtigung, wenn ein ungeschütztes Servlet eine Entity-Bean aufruft.
  • Für die Identifizierung eines ungeschützten Servlets zum Aufrufen eines z/OS-Connector wie Customer Information Control System (CICS) oder Information Management System (IMS), der eine aktuelle ID verwendet, wenn res-auth=container gilt.
  • Wenn eine Anwendung versucht, eine SynchToOSThread-Funktion einzuleiten.
Nähere Informationen hierzu finden Sie in den folgenden Artikeln im Information Center:
  • "SynchToOSThread zulässig" für Anwendungen
  • Wann die Option "SynchToOSThread zulässig" verwendet werden sollte
Mapper für SAF-Profile

Gibt den Namen des SAF-EJBRole-Profils an, dem ein J2EE-Rollenname zugeordnet wird. Der Name, den Sie angeben, implementiert die Schnittstelle "com.ibm.websphere.security.SAFRoleMapper".

Weitere Informationen finden Sie im Artikel Angepassten Mapper für SAF-EJB-Rollen entwickeln.

Berechtigung

Gibt an, dass SAF-EJBROLE-Profile für J2EE-Anwendungen und rollebasierte Berechtigungsanforderungen (Benennung und Administration) in der Laufzeitumgebung des Anwendungsservers verwendet werden, um Benutzer für Rollen zu berechtigen.

Wenn eine LDAP-Registry oder eine angepasste Registry konfiguriert und die SAF-Autorisierung angegeben ist, muss bei jeder Anmeldung eine Zuordnung zu einem z/OS-Principal erfolgen, um geschützte Methoden ausführen zu können.
  • Wenn als Authentifizierungsverfahren LTPA (Lightweight Third Party Authentication) verwendet wird, sollten Sie die folgenden Konfigurationseinträge aktualisieren, so dass diese eine Zuordnung zu einem gültigen z/OS-Principal (wie WEB_INBOUND, RMI_INBOUND und DEFAULT) enthalten.
  • Wenn als Authentifizierungsverfahren SWAM (Simple WebSphere Authentication Mechanism) verwendet wird, müssen Sie die SWAM-Konfiguration ändern, so dass diese eine Zuordnung zu einem gültigen z/OS-Principal enthält.
SAF-Delegierung aktivieren

Diese Eigenschaft gibt an, dass SAF-EJBROLE-Definitionen festlegen, welche MVS-Benutzer-ID zur aktiven Identität wird, wenn Sie die angegebene RunAs-Rolle auswählen.

Wählen Sie die Option SAF-Delegierung aktivieren nur aus, wenn Sie die Option SAF-Berechtigung aktivieren als externen Berechtigungsprovider auswählen.

RACF-EJBROLE-Prüfnachrichten unterdrücken

Gibt an, ob ICH408I-Nachrichten aktiviert oder inaktiviert sind.

SMF (System Management Facility) zeichnet Zugriffsschutzverletzen auf, egal welcher Wert für diese neue Eigenschaft angegeben ist. Diese Eigenschaft wirkt sich auf die Generierung von Zugriffsverletzungsnachrichten für anwendungsdefinierte Rollen und für Rollen der WAS-Laufzeitumgebung des Benennungs- und Verwaltungssubsystems aus. Überprüfungen des Profils EJBROLE werden als deklaratorische Überprüfungen und programmgesteuerte Überprüfungen durchgeführt.
  • Deklarative Überprüfungen sind als Sicherheitseinschränkungen in Webanwendungen und Implementierungsdeskriptoren als Sicherheitseinschränkungen in EJB-Dateien (Enterprise JavaBeans) codiert. In diesem Fall wird die Eigenschaft nicht für die Steuerung von Nachrichten verwendet. Stattdessen werden einige Rollen berechtigt. Sollte eine Zugriffsschutzverletzung auftreten, wird eine ICH408I-Nachricht generiert, die einen Fehler für eine der Rollen anzeigt. SMF protokolliert dann eine Zugriffsverletzung für diese Rolle.
  • Programmlogikprüfungen oder Zugriffsprüfungen werden mit der Methode "isCallerinRole(x)" für Enterprise-Beans bzw. der Methode "isUserInRole(x)" für Webanwendungen durchgeführt. Die Eigenschaft "com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress" steuert die von diesem Aufruf generierten Nachrichten.

Weitere Informationen zur SAF-Berechtigung finden Sie im Information Center in dem Artikel, der sich befasst mit der Steuerung des Zugriffs auf die Konsolbenutzer bei Verwendung einer LocalOS-Registry. Nähere Informationen zu Verwaltungsrollen finden Sie im entsprechenden Artikel im Information Center.

Anmerkung: Wenn fremde Berechtigungsprovider verwendet werden, z. B. Tivoli Access Manager oder Service Access Facility (SAF) für z/OS, spiegeln die Informationen in dieser Anzeige möglicherweise nicht die Daten im Provider wider. Möglicherweise werden auch Änderungen in dieser Anzeige nicht automatisch im Provider wiedergegeben. Informieren Sie den Provider gemäß seinen Anweisungen über die Änderungen in dieser Anzeige.
Standardeinstellung Inaktiviert, d. h., Nachrichten werden nicht unterdrückt.
Strategie für SMF-Prüfsätze

Bestimmt, wann ein Prüfsatz in System Management Facility (SMF) geschrieben wird. Bei jedem Berechtigungsaufruf kann RACF oder ein entsprechendes SAF-basiertes Produkt einen Prüfsatz mit dem Ergebnis der Berechtigungsprüfung in SMF schreiben.

WebSphere Application Server for z/OS verwendet die Operationen SAF RACROUTE AUTH und RACROUTE FASTAUTH und übergibt die Option LOG, die in der Sicherheitskonfiguration angegeben ist. Die Optionen sind DEFAULT, ASIS, NOFAIL und NONE.

Die folgenden Optionen sind verfügbar:
DEFAULT

Wenn mehrere Rollenvorgaben angegeben sind, z. B. der Benutzer muss einer von mehreren Rollen zugeordnet sein, werden alle Rollen mit Ausnahme der letzten markiert, wenn die Option NOFAIL angegeben ist. Wenn die Berechtigung in einer der Rollen vor der letzten erteilt wurde, schreibt WebSphere Application Server einen Erfolgsdatensatz zur Berechtigung. Falls die Berechtigung für keine dieser Rollen erfolgreich verläuft, wird die letzte Rolle mit der Protokolloption ASIS markiert. Wenn der Benutzer die Berechtigung für die letzte Rolle besitzt, wird unter Umständen ein Erfolgsdatensatz geschrieben. Wenn der Benutzer nicht berechtigt ist, kann ein Fehlerdatensatz geschrieben werden.

ASIS
Gibt an, dass die Prüfereignisse so aufgezeichnet werden, wie es in dem Profil, das die Ressource schützt, oder wie es mit den SETROPTS-Optionen angegeben ist.
NOFAIL
Gibt an, dass keine Fehler aufgezeichnet werden. Es werden keine Nachrichten zu Berechtigungsfehlern ausgegeben, aber Erfolgsdatensätze können geschrieben werden.
NONE
Gibt an, dass weder erfolgreiche noch fehlgeschlagene Berechtigungen aufgezeichnet werden.

Es wird nur ein Fehlerdatensatz für eine fehlgeschlagene J2EE-Berechtigungsprüfung geschrieben, wenn mehrere SAF-Berechtigungsaufrufe abgesetzt werden. Weitere Informationen zu den LOG-Optionen für SAF RACROUTE AUTH und RACROUTE FASTAUTH finden Sie in der Dokumentation zu RACF oder einem entsprechenden SAF-basierten Produkt.

Präfix für SAF-Profile

Gibt ein Präfix an, das allen SAF-EJBROLE-Profilen hinzugefügt werden soll, die für Java-EE-Rollen verwendet werden. Außerdem wird dieses Präfix als APPL-Profilname verwendet und in den Profilnamen eingefügt, der für CBIND-Prüfungen verwendet wird. Es gibt keinen Standardwert für das Feld "Präfix für SAF-Profile". Wenn kein Präfix explizit angegeben wird, wird den SAF-EJBROLE-Profilen kein hinzufügt. Stattdessen wird der Standardwert CBS390 als APPL-Profilname verwendet, und dem Profilnamen wird keine Angabe für CBIND-Prüfungen hinzugefügt.




Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Konzepte
Zugehörige Tasks
Zugehörige Verweise


Dateiname: usec_safpropszos.html