外部授权提供程序设置

使用此页面来启用 Java™ Authorization Contract for Containers(JACC)提供程序以进行授权决策。

要查看此管理控制台页面,请完成以下步骤:
  1. 单击安全性 > 全局安全性
  2. 单击外部授权提供程序

应用程序服务器提供了缺省授权引擎,它执行所有授权决策。另外,应用程序服务器还支持使用 JACC 规范的外部授权提供程序,以替换 Java Platform, Enterprise Edition(Java EE)应用程序的缺省授权引擎。

JACC 是 Java EE 规范的组成部分,该规范使第三方安全性提供程序(例如 Tivoli® Access Manager)能够插入到应用程序服务器中并执行授权决策。

重要: 除非有外部 JACC 提供程序或者要使用 Tivoli Access Manager 的 JACC 提供程序(它能够处理基于 JACC 的 Java EE 授权)并且已将其配置并设置成与应用程序服务器配合使用,否则不要启用使用 JACC 提供程序进行外部授权
系统授权工具(SAF)授权 [z/OS]

使用此选项来指定,SAF EJBROLE 概要文件既用于 Java 2 Platform, Enterprise Edition(Java EE)应用程序的用户到角色授权,也用于与应用程序服务器运行时相关联的基于角色的授权请求(命名和管理)的用户到角色授权。仅当环境包含 z/OS® 节点时,此选项才可用。

重要: 选择此选项后,WebSphere® Application Server 将使用 z/OS 安全性产品中存储的授权策略来进行授权。
如果配置了轻量级目录访问协议(LDAP)注册表或定制注册表并指定了 SAF 授权,那么每次登录时都需要映射到 z/OS 主体,这样才能运行受保护的方法:
  • 如果认证机制是轻量级第三方认证(LTPA),那么建议您更新下列所有的配置条目,以映射到有效的 z/OS 主体(例如 WEB_INBOUND、RMI_INBOUND 和 DEFAULT)。
  • 如果认证机制是简单 WebSphere 认证机制(SWAM),那么必须更新 SWAM 配置条目,以映射到有效的 z/OS 主体。
    注: 建议不要使用 SWAM,并且在将来的发行版中将除去此认证机制。

通过单击“相关项”下面的 z/OS SAF 授权,可以启用多个 SAF 授权属性。可以添加 com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress 属性值。设置此属性以打开或关闭 ICH408I 消息。此属性的缺省值是 false,它不消除消息。可以将此值设置为 true 以抑制 ICH408I 消息。

此属性既影响应用程序定义的角色的访问违例消息生成,也影响命名和管理子系统的应用程序服务器运行时角色的访问违例消息生成。此属性不影响系统管理设施(SMF)记录。为说明的(部署描述符)和纲领性的检查执行 EJBROLE 概要文件检查:
  • 说明的检查编码为 Web 应用程序中的安全性约束,而部署描述符编码为企业 bean 中的安全性约束。在这种情况下,不使用此属性来控制消息。取而代之,允许了一组角色,如果发生访问违例,那么 ICH408I 访问违例消息表明某个角色发生故障。SMF 然后(为该角色)记录一个访问违例。
  • 使用企业 bean 的程序化的 isCallerinRole(x) 或 Web 应用程序的 isUserInRole(x) 执行程序逻辑检查(或访问检查)。com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress 属性控制此调用生成的消息。
外部 JACC 提供程序

使用此链接来将应用程序服务器配置为使用外部 JACC 提供程序。例如,要配置外部 JACC 提供程序,JACC 规范需要策略类名和策略配置工厂类名。

Tivoli Access Manager 使用此链接中包含的缺省设置来进行授权决策。如果您打算使用另一个提供程序,适当修改设置。

不更新提供程序

指定不会将安全策略和角色传播到外部 JACC 提供程序。

使用所有应用程序进行更新

指定对于所有应用程序都会将安全策略和角色传播到外部 JACC 提供程序。

更新所列示的应用程序名称

指定对于所选择的应用程序,将安全策略和角色传播到外部 JACC 提供程序。

“配置”选项卡

内置授权

除非要使用外部安全性提供程序(例如 Tivoli Access Manager)为基于 JACC 规范的 Java EE 应用程序执行授权决策,否则应该始终使用此选项。

缺省值: 已启用



标有(在线)的链接要求访问因特网。

相关任务
相关参考
外部 Java Authorization Contract for Containers 提供程序设置
[z/OS] z/OS 系统授权工具授权


文件名: usec_jaccprovider.html