z/OS 系统授权工具授权

使用此页面来配置系统授权工具(SAF)和 SAF 授权属性。

要启用 SAF 授权:
  1. 单击安全性 > 全局安全性 > 外部授权提供者
  2. 单击系统授权工具(SAF)单选按钮。
  3. 要配置 SAF 授权选项,请单击 SAF 授权选项。SAF 授权选项用于未认证的用户,并且用于禁止 SAF EJBROLE 消息。

未认证的用户、SAF 授权和 SAF EJBROLE 消息抑制功能的公共属性不再是定制属性。

未认证的用户标识

指定 MVS™ 用户标识,当指定了 SAF 授权或者配置了本地操作系统注册表时,此用户标识用来表示不受保护的 servlet 请求。此用户标识限长 8 个字符。

在下列情况下将使用此属性定义:
  • 当不受保护的 servlet 调用实体 bean 时,此属性定义用于进行授权
  • res-auth=container 时,对于使用不受保护的 servlet 的标识来调用使用当前标识的 z/OS® 连接器,例如客户信息控制系统(CICS®)或信息管理系统(IMS™)
  • 当尝试执行应用程序启动的“与操作系统线程同步”功能时
有关更多信息,请参阅信息中心中的下列文章:
  • “了解允许应用程序与操作系统线程同步”
  • “何时使用允许应用程序与操作系统线程同步”
SAF 概要文件映射器

指定 Java™ 2 Platform, Enterprise Edition(J2EE)角色名所映射的 SAF EJBRole 概要文件的名称。指定的名称必须实现了 com.ibm.websphere.security.SAFRoleMapper 接口。

有关更多信息,请参阅开发定制 SAF EJB 角色映射器

授权

指定 SAF EJBROLE 概要文件既用于 Java 2 Platform, Enterprise Edition 应用程序的用户到角色授权,也用于与应用程序服务器运行时相关联的基于角色的授权请求(命名和管理)的用户到角色授权。

如果配置了轻量级目录访问协议(LDAP)注册表或定制注册表并指定了 SAF 授权,那么每次登录时都需要映射到 z/OS 主体,这样才能运行受保护的方法:
  • 如果认证机制是轻量级第三方认证(LTPA),那么建议您更新下列所有的配置条目,以映射到有效的 z/OS 主体(例如 WEB_INBOUND、RMI_INBOUND 和 DEFAULT)。
  • 如果认证机制是简单 WebSphere® 认证机制(SWAM),那么必须更新 SWAM 配置条目,以映射到有效的 z/OS 主体。
启用 SAF 授权

指定当选择特定于 RunAs 的角色时,将 SAF EJBROLE 定义分配给成为活动标识的 MVS 用户标识。

仅当您选择启用 SAF 授权选项作为外部授权提供程序时,才应该选择启用 SAF 授权选项。

抑制 RACF EJBRole 审计消息

指定是否打开了 ICH408I 消息。

无论指定给这个新属性的是什么值,系统管理设施(SMF)都会记录访问违例情况。此属性既影响生成应用程序定义的角色的访问违例消息,也影响生成应用程序服务器运行时为命名和管理子系统定义的角色的访问违例消息。声明性检查和程序性检查都执行 EJBROLE 概要文件检查:
  • 声明性检查作为 Web 应用程序中的安全性约束编码,部署描述符作为 Enterprise JavaBeans™(EJB)文件中的安全性约束编码。在这种情况下,不使用此属性来控制消息。而是允许使用一组角色,如果发生访问违例,ICH408I 访问违例消息就会指示导致故障的某个角色。然后,SMF 为该角色记录一个访问违例事件。
  • 程序逻辑检查或访问检查使用程序性 isCallerinRole(x) 方法(对于企业 bean)或 isUserInRole(x) 方法(对于 Web 应用程序)执行。com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress 属性控制此调用生成的消息。

有关 SAF 授权的更多信息,请参阅信息中心中的“在使用本地操作系统注册表时控制对控制台用户的访问”。有关管理角色的更多信息,请参阅信息中心中的“管理角色”。

注: 当使用第三方授权产品(例如 Tivoli® Access Manager 或 SAF for z/OS)时,管理控制台面板中的信息可能未表示提供程序中的数据。并且,对此面板所作的更改可能不会自动在提供程序中有所反映。请按照提供程序的指示信息执行操作,以传播对提供程序所作的更改。
缺省值: 已禁用,即不抑制消息。
SMF 审计记录策略

确定何时将审计记录写入系统管理设施(SMF)。对于每个授权调用,RACF® 或等效的基于 SAF 的产品都可将审计记录和授权检查结果写至 SMF。

WebSphere Application Server for z/OS 使用 SAF RACROUTE AUTH 和 RACROUTE FASTAUTH 操作,并传递安全性配置中指定的 LOG 选项。这些选项是 DEFAULT、ASIS、NOFAIL 和 NONE。

提供了下列选项:
DEFAULT

如果指定了多个角色约束(例如,用户必须是一组角色中的某个角色),那么将使用 NOFAIL 选项来检查除最后一个角色以外的所有角色。如果在最后一个角色之前的任何一个角色中授予了权限,WebSphere Application Server 就会写入授权成功的记录。如果在这些角色中未成功地进行授权,那么将使用 ASIS LOG 选项来检查最后一个角色。如果该用户有权使用最后一个角色,那么将写入成功的记录。如果该用户无权使用最后一个角色,那么将写入失败的记录。

ASIS
指定按照用于保护资源的概要文件中指定的方式来记录审计事件,或者按照 SETROPTS 选项指定的方式来记录审计事件。
NOFAIL
指定不记录授权失败。这样,就不会发出授权失败消息,但仍然会写入授权成功的审计记录。
NONE
指定既不记录授权成功也不记录授权失败。

对于失败的 J2EE 授权检查来说,即使进行了多次 SAF 授权调用,也将只写入一个授权失败的记录。有关 SAF RACROUTE AUTH 和 RACROUTE FASTAUTH 的 LOG 选项的更多信息,请参阅 RACF 或基于 SAF 的等同产品的文档。

SAF 概要文件前缀

指定将添加至用于 Java EE 角色的所有 SAF EJBROLE 概要文件添加的前缀。此前缀也用作 APPL 概要文件名称,并且将它插入概要文件名称中用于进行 CBIND 检查。“SAF 概要文件前缀”字段没有缺省值。如果未显式指定前缀,那么不会将前缀添加至 SAF EJBROLE 概要文件,而是将缺省值 CBS390 用作 APPL 概要文件名称,并且不会将任何内容插入概要文件名称中以进行 CBIND 检查。




标有(在线)的链接要求访问因特网。

相关概念
相关任务
相关参考


文件名: usec_safpropszos.html