使用此选项来指定,SAF EJBROLE 概要文件既用于 Java 2 Platform, Enterprise Edition(Java EE)应用程序的用户到角色授权,也用于与应用程序服务器运行时相关联的基于角色的授权请求(命名和管理)的用户到角色授权。仅当环境包含 z/OS® 节点时,此选项才可用。
重要: 选择此选项后,WebSphere® Application Server 将使用 z/OS 安全性产品中存储的授权策略来进行授权。
如果配置了轻量级目录访问协议(LDAP)注册表或定制注册表并指定了
SAF 授权,那么每次登录时都需要映射到 z/OS 主体,这样才能运行受保护的方法:
通过单击“相关项”下面的 z/OS SAF 授权,可以启用多个 SAF 授权属性。可以添加
com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress 属性值。设置此属性以打开或关闭 ICH408I 消息。此属性的缺省值是 false,它不消除消息。可以将此值设置为 true 以抑制 ICH408I 消息。
此属性既影响应用程序定义的角色的访问违例消息生成,也影响命名和管理子系统的应用程序服务器运行时角色的访问违例消息生成。此属性不影响系统管理设施(SMF)记录。为说明的(部署描述符)和纲领性的检查执行 EJBROLE 概要文件检查:
- 说明的检查编码为 Web 应用程序中的安全性约束,而部署描述符编码为企业 bean 中的安全性约束。在这种情况下,不使用此属性来控制消息。取而代之,允许了一组角色,如果发生访问违例,那么 ICH408I 访问违例消息表明某个角色发生故障。SMF 然后(为该角色)记录一个访问违例。
- 使用企业 bean 的程序化的 isCallerinRole(x) 或 Web 应用程序的 isUserInRole(x) 执行程序逻辑检查(或访问检查)。com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress
属性控制此调用生成的消息。