外部權限提供者設定

請利用這個頁面來啟用 Java™ Authorization Contract for Containers (JACC) 提供者,進行授權決策。

若要檢視這個管理主控台頁面,請完成下列步驟:
  1. 按一下安全 > 廣域安全
  2. 按一下外部權限提供者

應用程式伺服器會提供執行所有授權決策的預設授權引擎。 另外,應用程式伺服器也支援外部授權提供者利用 JACC 規格來取代 Java Platform Enterprise Edition (Java EE) 應用程式的預設授權引擎。

JACC 是 Java EE 規格的一部分,它可以讓協力廠商安全提供者(如 Tivoli® Access Manager)插入應用程式伺服器中,進行授權決策。

重要: 除非您有外部 JACC 提供者,或想要將 JACC 提供者用在根據 JACC 來處理 Java EE 授權的 Tivoli Access Manager 上,且它是配置且設為與應用程式伺服器一起使用,否則,請勿啟用利用 JACC 提供者進行外部授權
系統授權機能 (SAF) 授權 [z/OS]

請利用這個選項,指定將 SAF EJBROLE 設定檔用在 Java 2 Platform Enterprise Edition (Java EE) 應用程式的使用者至角色授權上,以及用在應用程式伺服器執行時期所關聯的角色型授權要求(命名和管理)上。 只有在您的環境含有 z/OS® 節點時,才能使用這個選項。

重要: 當您選取這個選項時,WebSphere® Application Server 會使用儲存在 z/OS 安全產品中的授權原則來進行授權。
如果已配置「輕量型目錄存取通訊協定」(LDAP) 登錄或自訂登錄,且指定了 SAF 授權,每次登入時都需要對映至 z/OS 主體,才能執行受保護的方法:
  • 如果鑑別機制是「小型認證機構」(LTPA),建議您更新所有下列配置項目,以併入有效 z/OS 主體的對映(例如 WEB_INBOUND、RMI_INBOUND 及 DEFAULT)。
  • 如果鑑別機制是「簡易 WebSphere 鑑別機制」(SWAM),您必須更新 SWAM 配置項目來併入有效 z/OS 主體的對映。
    註: SWAM 即將棄用,未來版本中將不再提供 SWAM 授權機制。

您可以按一下「相關項目」下的 z/OS SAF 授權,以啟用一些 SAF 授權內容。 您可以新增 com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress 內容的值。 您可以設定這個內容來開啟或關閉 ICH408I 訊息。這個內容的預設值是 false,它不會抑制訊息。您可以將這個值設為 true 來抑制 ICH408I 訊息。

這個內容會影響命名及管理子系統的應用程式定義角色和應用程式伺服器執行時期角色是否產生存取違規訊息。 這個內容不影響 System Management Facility (SMF) 記錄。 EJBROLE 設定檔是針對宣告(部署描述子)和程式化檢查而檢查:
  • 在 Web 應用程式中,宣告式檢查撰寫為安全限制,在 Enterprise Bean 中,部署描述子則撰寫為安全限制。在這種情況下,這個內容的目的就不是控制訊息了。 反之,會允許一組角色,如果發生存取違規,ICH408I 存取違規訊息會指出其中一個角色失敗。 接著 SMF 會針對該角色,記錄一個存取違規。
  • 程式邏輯檢查(或存取檢查)是使用 isCallerinRole(x)(針對 Enterprise Bean)或 isUserInRole(x)(針對 Web 應用程式)來執行。 com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress 內容會控制這個呼叫所產生的訊息。
外部 JACC 提供者

請利用這個鏈結來配置應用程式伺服器,讓它使用外部 JACC 提供者。比方說,若要配置外部 JACC 提供者,JACC 規格會要求您提供原則類別名稱和原則配置 Factory 類別名稱。

Tivoli Access Manager 在進行授權決策時,會使用這個鏈結所含的預設值。 如果您想要使用另一個提供者,請在這些設定做適當的修改。

不更新提供者

指定安全原則和角色不延伸到外部 JACC 提供者。

更新所有應用程式

指定所有應用程式、安全原則和角色都延伸到外部 JACC 提供者。

更新列出的應用程式名稱

指定所選的應用程式、安全原則和角色都延伸到外部 JACC 提供者。

「配置」標籤

內建授權

除非您想要 Tivoli Access Manager 之類的外部安全提供者執行以 JACC 規格為基礎的 Java EE 應用程式授權決策,否則,請一律使用這個選項。

預設值: 啟用



標示(線上)的鏈結表示需要存取網際網路。

相關工作
相關參考
外部 Java Authorization Contract for Containers 提供者設定
[z/OS] 「z/OS 系統授權機能」授權


檔名: usec_jaccprovider.html