Autorização do z/OS System Authorization Facility

Utilize esta página para configurar as propriedades do SAF (System Authorization Facility) e a Autorização SAF.

Para ativar a autorização SAF:
  1. Clique em Segurança > Segurança Global > Provedor de Autorização Externo.
  2. Clique no botão de rádio SAF (System Authorization Facility).
  3. Para configurar as Opções de autorização SAF, clique em Opções de Autorização SAF. As opções de Autorização SAF são para usuários não autenticados e para a supressão da mensagem EJBROLE SAF.

As propriedades comuns para usuário não-autenticado, autorização SAF e supressão de mensagem SAF EJBROLE não são mais propriedades customizadas.

Guia Configuração

ID do Usuário Não-autenticado

Especifica o ID do usuário MVS que é utilizado para representar pedidos de servlet não protegidos quando a autorização SAF é especificada ou um registro do sistema operacional local é configurado. Esse ID do usuário deve ter no máximo 8 caracteres de comprimento.

Esta definição de propriedade é utilizada nas seguintes instâncias:
  • Para autorização, se um servlet não protegido chama um bean de entidade
  • Para identificação de um servlet não protegido para chamar um conector z/OS, como o CICS (Customer Information Control System) ou IMS (Information Management System), que utiliza uma identidade atual quando res-auth=container
  • Quando ocorre a tentativa de uma Função de Sincronização com o Encadeamento do S.O. iniciada pelo aplicativo
Para obter informações adicionais, consulte os artigos a seguir no centro de informações:
  • "Entendendo a Sincronização com o Encadeamento do S.O. Permitida do Aplicativo
  • "Quando Utilizar a Sincronização com o Encadeamento do S.O. Permitida do Aplicativo
Mapeador de Perfil SAF

Especifica o nome do perfil SAF EJBRole para o qual um nome de função J2EE (Java 2 Platform, Enterprise Edition) é mapeado. O nome especificado implementa a interface com.ibm.websphere.security.SAFRoleMapper.

Para obter informações adicionais consulte Desenvolvendo um Mapeador de Função EJB SAF

Autorização

Especifica que os perfis SAF EJBROLE são utilizados para a autorização de usuário-para-função para aplicativos Java 2 Platform, Enterprise Edition e pedidos de autorização baseada em função (nomenclatura e administração) associados ao tempo de execução do servidor de aplicativos

Se um registro LDAP (Lightweight Access Directory Protocol) ou registro Customizado estiver configurado e a autorização SAF for especificada, um mapeamento para um proprietário do z/OS será necessário em cada login para quaisquer métodos protegidos para execução:
  • Se o mecanismo de autenticação for LTPA (Lightweight Third Party Authentication), será recomendável atualizar todas as entradas de configuração a seguir para incluir um mapeamento para um proprietário válido do z/OS (como WEB_INBOUND, RMI_INBOUND e DEFAULT).
  • Se o mecanismo de autenticação for SWAM (Simple WebSphere Authentication Mechanism), você deverá atualizar a entrada de configuração SWAM para incluir um mapeamento para um proprietário válido do z/OS.
Ativar Delegação SAF

Especifica que as definições SAF EJBROLE são designadas à identidade do usuário MVS que torna-se a identidade ativa quando você seleciona a função especificada RunAs.

Selecione a opção Ativar Delegação SAF apenas se você selecionar a opção Ativar Autorização SAF como o provedor de autorização externo.

Suprimir Mensagens de Auditoria do RACF EJBRole

Especifica se as mensagens ICH408I estão ativadas ou desativadas.

O SMF (System Management Facility) registra as violações de acesso, independentemente do valor especificado para esta nova propriedade. Essa propriedade afeta a geração de mensagens de violação de acesso para funções definidas pelo aplicativo e para funções definidas pelo tempo de execução do servidor de aplicativos para os subsistemas de nomenclatura e administrativo. As verificações de perfil EJBROLE são feitas para verificações declarativas e programáticas:
  • As verificações declarativas são codificadas como restrições de segurança em aplicativos da Web e os descritores de implementação são codificados como restrições de segurança em arquivos EJB (Enterprise JavaBeans). Essa propriedade não é utilizada para controlar as mensagens nesse caso. Em vez disso, é permitido um conjunto de funções e, se ocorrer uma violação de acesso, uma mensagem de violação de acesso ICH408I indicará um defeito para uma das funções. O SMF, então, registra uma única violação de acesso para essa função.
  • As verificações lógicas do programa, ou verificações de acesso, são desempenhadas utilizando o método isCallerinRole(x) programático para beans corporativos ou o método isUserInRole(x) para aplicativos da Web. A propriedade com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress controla as mensagens geradas por essa chamada.

Para obter informações adicionais sobre autorização SAF, consulte "Controlando Acesso para Usuários do Console ao Utilizar um Registro do S.O. Local" no centro de informações. Para obter informações adicionais sobre funções administrativas, consulte "Funções Administrativas" no centro de informações.

Nota: Quando uma autorização de terceiros, como Tivoli Access Manager ou SAF para z/OS é utilizada, as informações no painel do console administrativo podem não representar os dados no provedor. Além disso, quaisquer alterações no painel podem não ser refletidas no provedor automaticamente. Siga as instruções do provedor para propagar quaisquer alterações feitas para o provedor.
Padrão: Desativado, que não suprime mensagens.
Estratégia de Registro de Auditoria SMF

Determina quando um registro de auditoria é gravado no SMF (System Management Facility. Em cada chamada de autorização, o RACF ou um produto equivalente baseado em SAF, pode gravar um registro de auditoria para SMF com o resultado da verificação de autorização.

O WebSphere Application Server para z/OS utiliza as operações SAF RACROUTE AUTH e RACROUTE FASTAUTH e transmite a opção LOG especificada na configuração de segurança. As opções são DEFAULT, ASIS, NOFAIL e NONE.

As seguintes opções estão disponíveis:
DEFAULT

Quando restrições de múltiplas funções são especificadas, como um usuário deve estar em uma de um conjunto de funções, todas as funções, exceto a última função, são marcadas com a opção NOFAIL. Se a autorização for concedida em uma das funções antes da última função, o WebSphere Application Server gravará um registro de sucesso de autorização. Se a autorização não for bem-sucedida nessas funções, a última função é marcada com a opção de registro ASIS. Se o usuário for autorizado para a última função, um registro de sucesso deve ser gravado. Se o usuário não for autorizado, um registro de falha pode ser gravado.

ASIS
Especifica que os eventos de auditoria são registrados na maneira especificada no perfil que protege o recurso ou na maneira especificada pelas opções SETROPTS.
NOFAIL
Especifica que falhas não são registradas. As mensagens de falha de autorização não são emitidas, mas os registros de auditoria de autorização bem-sucedida podem ser gravados.
NONE
Especifica que nem êxitos nem falhas são registrados.

Somente um registro de falha de autorização é gravado para uma verificação de autorização J2EE em falha, mesmo se várias chamadas de autorização SAF forem feitas. Para obter mais informações sobre as opções LOG para SAF RACROUTE AUTH e RACROUTE FASTAUTH, consulte a documentação do RACF ou do produto equivalente baseado no SAF.




Links marcados (on-line) requerem acesso à Internet.

Conceitos relacionados
Tarefas relacionadas
Referências relacionadas


Nome do arquivo: usec_safpropszos.html