使用此页面来配置系统授权工具(SAF)和 SAF 授权属性。
未认证的用户、SAF 授权和 SAF EJBROLE 消息抑制功能的公共属性不再是定制属性。
指定 MVS™ 用户标识,当指定了 SAF 授权或者配置了本地操作系统注册表时,此用户标识用来表示不受保护的 servlet 请求。此用户标识限长 8 个字符。
指定 Java™ 2 Platform, Enterprise Edition(J2EE)角色名所映射的 SAF EJBRole 概要文件的名称。指定的名称必须实现了 com.ibm.websphere.security.SAFRoleMapper 接口。
有关更多信息,请参阅开发定制 SAF EJB 角色映射器
指定 SAF EJBROLE 概要文件既用于 Java 2 Platform, Enterprise Edition 应用程序的用户到角色授权,也用于与应用程序服务器运行时相关联的基于角色的授权请求(命名和管理)的用户到角色授权。
指定当选择特定于 RunAs 的角色时,将 SAF EJBROLE 定义分配给成为活动标识的 MVS 用户标识。
仅当您选择启用 SAF 授权选项作为外部授权提供程序时,才应该选择启用 SAF 授权选项。
指定是否打开了 ICH408I 消息。
有关 SAF 授权的更多信息,请参阅信息中心中的“在使用本地操作系统注册表时控制对控制台用户的访问”。有关管理角色的更多信息,请参阅信息中心中的“管理角色”。
缺省值: | 已禁用,即不抑制消息。 |
确定何时将审计记录写入系统管理设施(SMF)。对于每个授权调用,RACF® 或等效的基于 SAF 的产品都可将审计记录和授权检查结果写至 SMF。
WebSphere Application Server for z/OS 使用 SAF RACROUTE AUTH 和 RACROUTE FASTAUTH 操作,并传递安全性配置中指定的 LOG 选项。这些选项是 DEFAULT、ASIS、NOFAIL 和 NONE。
如果指定了多个角色约束(例如,用户必须是一组角色中的某个角色),那么将使用 NOFAIL 选项来检查除最后一个角色以外的所有角色。如果在最后一个角色之前的任何一个角色中授予了权限,WebSphere Application Server 就会写入授权成功的记录。如果在这些角色中未成功地进行授权,那么将使用 ASIS LOG 选项来检查最后一个角色。如果该用户有权使用最后一个角色,那么将写入成功的记录。如果该用户无权使用最后一个角色,那么将写入失败的记录。
对于失败的 J2EE 授权检查来说,即使进行了多次 SAF 授权调用,也将只写入一个授权失败的记录。有关 SAF RACROUTE AUTH 和 RACROUTE FASTAUTH 的 LOG 选项的更多信息,请参阅 RACF 或基于 SAF 的等同产品的文档。
指定将添加至用于 Java EE 角色的所有 SAF EJBROLE 概要文件添加的前缀。此前缀也用作 APPL 概要文件名称,并且将它插入概要文件名称中用于进行 CBIND 检查。“SAF 概要文件前缀”字段没有缺省值。如果未显式指定前缀,那么不会将前缀添加至 SAF EJBROLE 概要文件,而是将缺省值 CBS390 用作 APPL 概要文件名称,并且不会将任何内容插入概要文件名称中以进行 CBIND 检查。
标有(在线)的链接要求访问因特网。