このオプションを使用して、Java 2 Platform, Enterprise Edition
(Java EE) アプリケーション、
およびアプリケーション・サーバー・ランタイムに関連付けられた
ロール・ベースの許可要求 (ネーミングおよび管理) の両方について、
ユーザーの役割許可に SAF EJBROLE プロファイルを使用するよう指定します。
このオプションは、
ご使用の環境が z/OS® ノードのみ設定されている場合に使用できます。
重要: このオプションを選択すると、WebSphere® Application
Server は、z/OS セキュリティー製品に保管されている権限ポリシーを使用して、許可を付与することができます。
Lightweight Directory Access Protocol (LDAP) レジストリーまたはカスタム・レジストリーを構成し、
また SAF 許可を指定している場合、以下の protected メソッドを実行するには、ログインするたびに z/OS プリンシパルへのマッピングが必要となります。
「関連項目」下の「z/OS ®
SAF authorization」をクリックすると、複数の SAF 許可プロパティーが使用可能になります。com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress プロパティーの値を追加できます。このプロパティーを設定して、ICH408I メッセージをオンまたはオフにすることができます。このプロパティーのデフォルト値は false で、
この場合、メッセージは抑止されません。
この値を true に設定すると、ICH408I メッセージを抑止できます。
このプロパティーは、
ネーミングおよび管理サブシステムの、
アプリケーション定義役割とアプリケーション・サーバー・ランタイム役割の
両方に関する、アクセス違反のメッセージ生成に影響します。
システム管理機能 (SMF) レコードは、このプロパティーにより影響を受けません。EJBROLE プロファイル検査は、宣言 (デプロイメント記述子) およびプログラマチック検査の両方に行われます。
- 宣言検査は Web アプリケーションでセキュリティー制約としてコーディングされ、
デプロイメント記述子はエンタープライズ Bean でセキュリティー制約としてコーディングされます。このプロパティーは、この場合のメッセージを制御するために使用されません。
その代わり、許可される役割セットがあり、アクセス違反が発生すると、ICH408I アクセス違反メッセージが
役割の 1 つに障害が発生したことを示します。SMF はその後、(その役割の) 単一のアクセス違反をログに記録します。
- プログラム・ロジック検査 (またはアクセス検査) は、エンタープライズ Bean の場合はプログラマチック isCallerinRole(x) を、
Web アプリケーションの場合は isUserInRole(x) を使用して実行されます。
com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress プロパティーは、
この呼び出しによって生成されるメッセージを制御します。