請利用這個選項,指定將 SAF EJBROLE 設定檔用在 Java 2 Platform Enterprise Edition (Java EE) 應用程式的使用者至角色授權上,以及用在應用程式伺服器執行時期所關聯的角色型授權要求(命名和管理)上。
只有在您的環境含有 z/OS® 節點時,才能使用這個選項。
重要: 當您選取這個選項時,WebSphere® Application Server 會使用儲存在 z/OS 安全產品中的授權原則來進行授權。
如果已配置「輕量型目錄存取通訊協定」(LDAP) 登錄或自訂登錄,且指定了 SAF 授權,每次登入時都需要對映至 z/OS 主體,才能執行受保護的方法:
您可以按一下「相關項目」下的 z/OS SAF 授權,以啟用一些 SAF 授權內容。
您可以新增 com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress 內容的值。
您可以設定這個內容來開啟或關閉 ICH408I 訊息。這個內容的預設值是 false,它不會抑制訊息。您可以將這個值設為 true 來抑制 ICH408I 訊息。
這個內容會影響命名及管理子系統的應用程式定義角色和應用程式伺服器執行時期角色是否產生存取違規訊息。
這個內容不影響 System Management Facility (SMF) 記錄。
EJBROLE 設定檔是針對宣告(部署描述子)和程式化檢查而檢查:
- 在 Web 應用程式中,宣告式檢查撰寫為安全限制,在 Enterprise Bean 中,部署描述子則撰寫為安全限制。在這種情況下,這個內容的目的就不是控制訊息了。
反之,會允許一組角色,如果發生存取違規,ICH408I 存取違規訊息會指出其中一個角色失敗。
接著 SMF 會針對該角色,記錄一個存取違規。
- 程式邏輯檢查(或存取檢查)是使用 isCallerinRole(x)(針對 Enterprise Bean)或 isUserInRole(x)(針對 Web 應用程式)來執行。
com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress 內容會控制這個呼叫所產生的訊息。