Configurações do Provedor de Autorização Externo

Utilize essa página para ativar um provedor JACC (Java Authorization Contract for Containers) para decisões de autorização.

Para visualizar a página do console administrativo, conclua as etapas a seguir:
  1. Clique em Segurança > Segurança global.
  2. Clique em Provedores de Autorização Externos.

O servidor de aplicativos fornece um mecanismo de autorização padrão que executa todas as decisões de autorização. Além disso, o servidor de aplicativos também suporta um provedor de autorização externo utilizando a especificação JACC para substituir o mecanismo de autorização padrão para aplicativos Java EE (Java Platform, Enterprise Edition).

O JACC faz parte da especificação Java EE, que possibilita que provedores de segurança de terceiros, como o Tivoli Access Manager, conectem-se ao servidor de aplicativos e tomem decisões de autorização.

Importante: A menos que você tenha um provedor JACC externo ou deseje utilizar um provedor JACC para o Tivoli Access Manager que possa manipular autorizações do Java EE com base no JACC, e ele esteja configurado e preparado para ser utilizado com o servidor de aplicativos, não ative Autorização externa utilizando um provedor JACC.
Autorização SAF (System Authorization Facility) [z/OS]

Utilize essa opção para especificar que os perfis SAF EJBROLE sejam utilizados para autorização de usuário-para-função para os aplicativos Java EE (Java 2 Platform, Enterprise Edition) e para os pedidos de autorização baseados em funções (nomenclatura e administração) associados ao tempo de execução do servidor de aplicativos. Essa opção está disponível quando seu ambiente contém apenas nós z/OS.

Importante: Quando você seleciona essa opção, o WebSphere Application Server utiliza a política de autorização armazenada no produto de segurança z/OS para autorização.
Se um registro LDAP (Lightweight Access Directory Protocol) ou registro Customizado estiver configurado e a autorização SAF for especificada, um mapeamento para um proprietário do z/OS será necessário em cada login para quaisquer métodos protegidos para execução:
  • Se o mecanismo de autenticação for LTPA (Lightweight Third Party Authentication), será recomendável atualizar todas as entradas de configuração a seguir para incluir um mapeamento para um proprietário válido do z/OS (como WEB_INBOUND, RMI_INBOUND e DEFAULT).
  • Se o mecanismo de autenticação for SWAM (Simple WebSphere Authentication Mechanism), você deverá atualizar a entrada de configuração SWAM para incluir um mapeamento para um proprietário válido do z/OS.
    Nota: SWAM está obsoleto e será removido em um release futuro.

Você pode ativar várias propriedades de autorização SAF clicando em Autorização SAF do z/OS em Itens Relacionados. É possível incluir um valor para a propriedade com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress. Defina esta propriedade para ativar ou desativar mensagens ICH408I. O valor padrão para essa propriedade é false, que não suprime as mensagens. Você pode configurar esse valor como true para suprimir as mensagens ICH408I.

Essa propriedade afeta a geração de mensagens de violação de acesso para as funções definidas pelo aplicativo e para as funções do tempo de execução do servidor de aplicativos para os subsistemas de nomenclatura e administrativos. Os registros SMF (System Management Facility) não são afetados por esta propriedade. As verificações de perfil EJBROLE são feitas para verificações declarativas (descritores de implantação) e programáticas:
  • As verificações declarativas são codificadas como limitações de segurança em aplicativos da Web e os descritores de implementação são codificados como limitações de segurança em beans corporativos. Essa propriedade não é utilizada para controlar as mensagens nesse caso. Em vez disso, é permitido um conjunto de funções e, se ocorrer uma violação de acesso, uma mensagem de violação de acesso ICH408I indicará um defeito para uma das funções. O SMF então registra uma única violação de acesso (para essa função).
  • As verificações lógicas do programa (ou verificações de acesso) são executadas utilizando o isCallerinRole(x) programático para bean corporativo ou isUserInRole(x) para aplicativos da Web. A propriedade com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress controla as mensagens geradas por essa chamada.
Provedor Externo JACC

Utilize esse link para configurar o servidor de aplicativos para utilizar um provedor externo JACC. Por exemplo, para configurar um provedor externo JACC, o nome da classe da política e o nome da classe do depósito de informações do provedor de configuração da política são requeridos pela especificação JACC.

As configurações padrão contidas nesse link são utilizadas pelo Tivoli Access Manager para decisões de autorização. Se você pretende utilizar outro provedor, modifique as definições conforme apropriado.

Não Atualizar o Provedor

Especifica que as políticas e funções de segurança não serão propagadas para o provedor JACC externo.

Atualizar com Todos os Aplicativos

Especifica que, para todos os aplicativos, as políticas e funções de segurança serão propagadas para o provedor JACC externo.

Atualizar Nomes de Aplicativos Listados

Especifica que, para os aplicativos selecionados, as políticas e funções de segurança serão propagadas para o provedor JACC externo.

Guia Configuração

Autorização Integrada

Utilize essa opção sempre, a menos que você deseje que um provedor de segurança externo, como o Tivoli Access Manager, desempenhe a decisão de autorização para aplicativos Java EE baseados na especificação JACC.

Padrão: Ativado



Links marcados (on-line) requerem acesso à Internet.

Tarefas relacionadas
Referências relacionadas
Configurações do Provedor Java Authorization Contract for Containers Externo
[z/OS] Autorização do z/OS System Authorization Facility


Nome do arquivo: usec_jaccprovider.html