z/OS System Authorization Facility の許可

このページを使用して、System Authorization Facility (SAF) および SAF 許可プロパティーを構成します。

SAF 許可を使用可能にするには、以下のようにします。
  1. セキュリティー」 > 「グローバル・セキュリティー」 > 「外部許可プロバイダー」とクリックします。
  2. System Authorization Facility (SAF)」ラジオ・ボタンをクリックします。
  3. SAF 許可オプションを構成するには、「SAF authorization options」をクリックします。SAF 許可の各オプションは、非認証ユーザーおよび SAF EJBROLE メッセージ抑止用です。

非認証ユーザー、SAF 許可、および SAF EJBROLE メッセージ抑止に共通のプロパティーは、 カスタム・プロパティーではなくなりました。

非認証ユーザー ID

SAF 許可が指定されている場合、またはローカル・オペレーティング・システム・レジストリー が構成されている場合に、無保護サーブレット要求を表すために使用される MVS™ ユーザー ID を指定します。 このユーザー ID は、最大で 8 文字の長さである必要があります。

このプロパティー定義は、以下のインスタンスで使用されます。
  • 無保護サーブレットがエンティティー Bean を呼び出す場合の許可。
  • res-auth=container の場合に現在の ID を使用する z/OS® コネクター (Customer Information Control System (CICS®)、 Information Management System (IMS™) など) を呼び出すための、無保護サーブレットの識別。
  • アプリケーション主導の Synch to OS Thread 機能が試行される場合。
詳しくは、インフォメーション・センターの以下の項目を参照してください。
  • 「application Synch to OS Thread Allowed」の理解
  • 「application Synch to OS Thread Allowed」を使用する時期
SAF プロファイル・マッパー

Java™ 2 Platform, Enterprise Edition (J2EE) 役割名のマップ先の SAF EJBRole プロファイルの名前を指定します。 指定した名前により、com.ibm.websphere.security.SAFRoleMapper インターフェースが実装されます。

詳しくは、カスタム SAF EJB ロール・マッパーの開発を参照してください。

許可

Java 2 Platform, Enterprise Edition アプリケーションと、 アプリケーション・サーバー・ランタイムに関連付けられたロール・ベースの許可要求 (ネーミングおよび管理) の両方について、 ユーザーの役割許可に SAF EJBROLE プロファイルを使用するよう指定します。

Lightweight Directory Access Protocol (LDAP) レジストリーまたはカスタム・レジストリーが構成されており、 かつ SAF 許可が指定されている場合、保護されているメソッドを実行するには、毎回のログイン時に z/OS プリンシパルへのマッピングが必要となります。
  • 認証メカニズムが Lightweight Third Party Authentication (LTPA) である場合は、 以下の構成エントリーをすべて更新して、有効な z/OS プリンシパル (WEB_INBOUND、RMI_INBOUND、 DEFAULT など) へのマッピングを組み込むことを推奨します。
  • 認証メカニズムが Simple WebSphere® Authentication Mechanism (SWAM) である場合は、SWAM 構成エントリーを更新して、 有効な z/OS プリンシパルへのマッピングを組み込む必要があります。
SAF 代行を使用可能にする

RunAs の指定された役割を選択した場合にアクティブ ID になる MVS ユーザー ID に、SAF EJBROLE 定義が割り当てられるように指定します。

SAF 代行を使用可能にする」オプションは、 外部許可プロバイダーとして「SAF 許可を使用可能にする」オプションを選択する場合にのみ選択してください。

RACF EJBRole 監査 メッセージを非表示にする

ICH408I メッセージをオンにするかオフにするかを指定します。

システム管理機能 (SMF) は、 この新規プロパティーにどの値が指定されても、アクセス違反を記録します。 このプロパティーは、ネーミングおよび管理サブシステムのアプリケーション定義役割およびアプリケーション・サーバーのランタイム定義役割の両方のアクセス違反のメッセージ生成に影響します。 EJBROLE プロファイル検査は、宣言およびプログラマチック検査の両方に行われます。
  • 宣言検査は Web アプリケーションでセキュリティー制約としてコーディングされ、 デプロイメント記述子は Enterprise JavaBeans™ (EJB) ファイルでセキュリティー制約としてコーディングされます。このプロパティーは、この場合のメッセージを制御するために使用されません。 その代わり、許可される役割セットがあり、アクセス違反が発生すると、ICH408I アクセス違反メッセージが 役割の 1 つに障害が発生したことを示します。SMF はその後、その役割の単一のアクセス違反をログに記録します。
  • プログラム・ロジック検査またはアクセス検査は、エンタープライズ Bean の場合はプログラマチック isCallerinRole(x) メソッドを、Web アプリケーションの場合は isUserInRole(x) メソッドを使用して実行されます。 com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress プロパティーは、 この呼び出しによって生成されるメッセージを制御します。

SAF 権限について詳しくは、インフォメーション・センターの『ローカル OS レジストリー使用時のコンソール・ユーザーへのアクセス制御』を参照してください。管理ロールについて詳しくは、インフォメーション・センターの『管理ロール』を参照してください。

注: Tivoli® Access Manager や z/OS 用の SAF といったサード・パーティー許可を使用する場合、管理コンソール・パネルの情報が、プロバイダーのデータを示さない可能性があります。また、パネルへの変更が、自動的にプロバイダーに反映されない可能性もあります。 プロバイダーの指示に従って、プロバイダーへの変更を反映させてください。
デフォルト: 使用不可。メッセージを抑止しません。
SMF 監査レコード計画

どのような場合に System Management Facility (SMF) に監査レコードが書き込まれるのかを決定します。各許可呼び出しでは、 RACF® または同等の SAF ベースの製品が、権限チェックの結果とともに監査レコードを SMF に書き込むことができます。

WebSphere Application Server for z/OS は、SAF RACROUTE AUTH および RACROUTE FASTAUTH オペレーションを使用し、セキュリティー構成で指定された LOG オプションを渡します。オプションは DEFAULT、ASIS、NOFAIL、および NONE です。

以下のオプションを使用できます。
DEFAULT

ユーザーが役割のセットのいずれかに該当する必要があるなど、 複数の役割の制約が指定されている場合、最後の役割を除くすべての役割が、NOFAIL オプションによりチェックされます。 最後の役割に達する前に、いずれかの役割で許可が与えられた場合、WebSphere Application Server は、 許可成功レコードを書き込みます。 これらの役割で許可が成功しない場合、最後の役割が、ASIS ログ・オプションによりチェックされます。 ユーザーが最後の役割に対して許可された場合、 成功レコードが書き込まれることがあります。 ユーザーが許可されない場合、失敗レコードが書き込まれることがあります。

ASIS
リソースを保護するプロファイル内で指定された方法、 または SETROPTS オプションにより指定された方法で、監査イベントが記録されることを指定します。
NOFAIL
失敗を記録しないことを指定します。許可の失敗メッセージは発行されませんが、 成功した許可監査レコードは書き込まれることがあります。
NONE
失敗も成功も記録しないことを指定します。

複数の SAF 許可呼び出しが行われた場合であっても、 失敗した J2EE 許可チェックに対して 1 つの許可失敗レコードのみが書き込まれます。 SAF RACROUTE AUTH および RACROUTE FASTAUTH の LOG オプションの詳細は、RACF または同等の SAF ベースの製品の資料を参照してください。

SAF プロファイルの接頭部 (SAF profile prefix)

Java EE の役割で使用するすべての SAF EJBROLE プロファイルに追加する接頭部を指定します。 この接頭部は、APPL プロファイル名としても使用され、CBIND 検査に使用されるプロファイル名に挿入されます。 「SAF プロファイルの接頭部 (SAF profile prefix)」フィールドにデフォルト値はありません。 接頭部が明示的に指定されていない場合、SAF EJBROLE プロファイルに接頭部は追加されません。APPL プロファイル名には CBS390 のデフォルト値が使用され、CBIND 検査用のプロファイル名には何も挿入されません。




マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連概念
関連タスク
関連資料


ファイル名: usec_safpropszos.html