z/OS System Authorization Facility の許可

このページを使用して、System Authorization Facility (SAF) および SAF 許可プロパティーを構成します。

SAF 許可を使用可能にするには、以下のようにします。
  1. セキュリティー」>「グローバル・セキュリティー」>「外部許可プロバイダー」とクリックします。
  2. 「許可プロバイダー」のドロップダウン・リストから、「System Authorization Facility (SAF)」を選択します。
  3. 構成」ボタンをクリックします。
SAF 許可を選択すると、WebSphere® Application Server は、z/OS セキュリティー製品に保管されている許可ポリシーを使用して許可を付与します。Lightweight Directory Access Protocol (LDAP) レジストリーまたはカスタム・レジストリーを構成している状態で、SAF 許可を指定している場合、 保護メソッドを実行するには、ログインするたびに z/OS® プリンシパルへのマッピングが以下のように必要となります。

非認証ユーザー、SAF 許可、および SAF EJBROLE メッセージ抑止に共通のプロパティーは、 カスタム・プロパティーではなくなりました。

このオプションを選択すると、WebSphere Application Server は、z/OS セキュリティー製品に保管されている権限ポリシーを使用して、許可を付与することができます。

非認証ユーザー ID

SAF 許可が指定されている場合、またはローカル・オペレーティング・システム・レジストリー が構成されている場合に、無保護サーブレット要求を表すために使用される MVS™ ユーザー ID を指定します。 このユーザー ID は、最大で 8 文字の長さである必要があります。

このプロパティー定義は、以下のインスタンスで使用されます。
  • 無保護サーブレットがエンティティー Bean を呼び出す場合の許可。
  • res-auth=container の場合に現在の ID を使用する z/OS コネクター (Customer Information Control System (CICS®)、 Information Management System (IMS™) など) を呼び出すための、無保護サーブレットの識別。
  • アプリケーション主導の Synch to OS Thread 機能が試行される場合。
詳しくは、インフォメーション・センターの以下の項目を参照してください。
  • 「application Synch to OS Thread Allowed」の理解
  • 「application Synch to OS Thread Allowed」を使用する時期
SAF プロファイル・マッパー

Java™ 2 Platform, Enterprise Edition (J2EE) 役割名のマップ先の SAF EJBRole プロファイルの名前を指定します。 指定した名前により、com.ibm.websphere.security.SAFRoleMapper インターフェースが実装されます。

詳しくは、カスタム SAF EJB ロール・マッパーの開発を参照してください。

SAF 代行を使用可能にする

RunAs の指定された役割を選択した場合にアクティブ ID になる MVS ユーザー ID に、SAF EJBROLE 定義が割り当てられるように指定します。

SAF 代行を使用可能にする」オプションは、 外部許可プロバイダーとして「SAF 許可を使用可能にする」オプションを選択する場合にのみ選択してください。

APPL プロファイルを使用してアプリケーション・サーバーへのアクセスを制限する (Use the APPL profile to restrict access to the application server)

APPL プロファイルを使用して WebSphere Application Server へのアクセスを制限します。

SAF プロファイル接頭部が定義されている場合は、使用している APPL プロファイルが接頭部プロファイルになります。それ以外の場合、APPL プロファイル名は CBS390 です。 WebSphere サービスを使用するすべての z/OS ID に、APPL プロファイルの読み取り権限が必要です。z/OS 識別に含まれるのは、すべての WebSphere Application Server 識別、WebSphere Application Server 非認証識別、WebSphere Application Server 管理識別、役割からユーザーへのマッピングに基づいたユーザー ID、 およびシステム・ユーザーに対するすべてのユーザー識別などです。 APPL クラスが z/OS システム上でアクティブな状態でない場合、その値に関係なく、このプロパティーによる影響はありません。

デフォルト: 使用可能。
z/OS セキュリティー製品からの許可に失敗したメッセージを抑止する (Suppress authorization failed messages from the z/OS security product)

ICH408I メッセージをオンにするかオフにするかを指定します。この設定のデフォルト値は false (未チェック) です。この場合、メッセージは抑止されません。

システム管理機能 (SMF) は、 この新規プロパティーにどの値が指定されても、アクセス違反を記録します。 このプロパティーは、ネーミングおよび管理サブシステムのアプリケーション定義役割およびアプリケーション・サーバーのランタイム定義役割の両方のアクセス違反のメッセージ生成に影響します。 EJBROLE プロファイル検査は、宣言およびプログラマチック検査の両方に行われます。
  • 宣言検査は Web アプリケーションでセキュリティー制約としてコーディングされ、 デプロイメント記述子は Enterprise JavaBeans™ (EJB) ファイルでセキュリティー制約としてコーディングされます。このプロパティーは、この場合のメッセージを制御するために使用されません。 その代わり、許可される役割セットがあり、アクセス違反が発生すると、ICH408I アクセス違反メッセージが 役割の 1 つに障害が発生したことを示します。SMF はその後、その役割の単一のアクセス違反をログに記録します。
  • プログラム・ロジック検査またはアクセス検査は、エンタープライズ Bean の場合はプログラマチック isCallerinRole(x) メソッドを、Web アプリケーションの場合は isUserInRole(x) メソッドを使用して実行されます。 SMF 監査レコードのストラテジー・プロパティーが ASISNOFAIL、または NONE に設定されている場合は、com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress プロパティーが、この呼び出しによって生成されるメッセージを制御します。 SMF 監査レコードのストラテジー・プロパティーが DEFAULT に設定されている場合、管理ロールに対するメッセージ抑止は常に使用可能になります。
トラブルの回避 (Avoid trouble):
  • バージョン 7.0.0.3 以降で実行しているとき、SMF 監査レコードのストラテジーを DEFAULT に設定した場合に管理ロールのメッセージが抑止されないようにするには、com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin プロパティーを false に設定します。 管理ロールのメッセージ抑止を制御する他の設定は、このプロパティーに指定した値によってオーバーライドされます。
  • Tivoli Access Manager や z/OS 用の SAF といったサード・パーティー許可を使用する場合、管理コンソール・パネルの情報が、プロバイダーのデータを示さない可能性があります。また、パネルへの変更が、自動的にプロバイダーに反映されない可能性もあります。 プロバイダーの指示に従って、プロバイダーへの変更を反映させてください。
gotcha

SAF 権限について詳しくは、インフォメーション・センターの『ローカル OS レジストリー使用時のコンソール・ユーザーへのアクセス制御』を参照してください。管理ロールについて詳しくは、インフォメーション・センターの『管理ロール』を参照してください。

デフォルト: 使用不可。メッセージを抑止しません。
SMF 監査レコード計画

どのような場合に System Management Facility (SMF) に監査レコードが書き込まれるのかを決定します。各許可呼び出しでは、 RACF® または同等の SAF ベースの製品が、権限チェックの結果とともに監査レコードを SMF に書き込むことができます。

WebSphere Application Server for z/OS は、SAF RACROUTE AUTH および RACROUTE FASTAUTH オペレーションを使用し、セキュリティー構成で指定された LOG オプションを渡します。オプションは DEFAULT、ASIS、NOFAIL、および NONE です。

以下のオプションは、ドロップダウン・リストから選択可能です。
DEFAULT

ユーザーが役割のセットのいずれかに該当する必要があるなど、 複数の役割の制約が指定されている場合、最後の役割を除くすべての役割が、NOFAIL オプションによりチェックされます。 最後の役割に達する前に、いずれかの役割で許可が与えられた場合、WebSphere Application Server は、 許可成功レコードを書き込みます。 これらの役割で許可が成功しない場合、最後の役割が、ASIS ログ・オプションによりチェックされます。 ユーザーが最後の役割に対して許可された場合、 成功レコードが書き込まれることがあります。 ユーザーが許可されない場合、失敗レコードが書き込まれることがあります。

ASIS
リソースを保護するプロファイル内で指定された方法、 または SETROPTS オプションにより指定された方法で、監査イベントが記録されることを指定します。
NOFAIL
失敗を記録しないことを指定します。許可の失敗メッセージは発行されませんが、 成功した許可監査レコードは書き込まれることがあります。
NONE
失敗も成功も記録しないことを指定します。

複数の SAF 許可呼び出しが行われた場合であっても、 失敗した J2EE 許可チェックに対して 1 つの許可失敗レコードのみが書き込まれます。 SAF RACROUTE AUTH および RACROUTE FASTAUTH の LOG オプションの詳細は、RACF または同等の SAF ベースの製品の資料を参照してください。

SAF プロファイルの接頭部 (SAF profile prefix)

Java EE の役割で使用するすべての SAF EJBROLE プロファイルに追加する接頭部を指定します。 この接頭部は、APPL プロファイル名としても使用され、CBIND 検査に使用されるプロファイル名に挿入されます。 「SAF プロファイルの接頭部 (SAF profile prefix)」フィールドにデフォルト値はありません。 接頭部が明示的に指定されていない場合、SAF EJBROLE プロファイルに接頭部は追加されません。APPL プロファイル名には CBS390 のデフォルト値が使用され、CBIND 検査用のプロファイル名には何も挿入されません。

APPL プロファイルを使用して、WebSphere Application Server へのアクセスを制限できます。

SAF プロファイル接頭部が定義されている場合は、使用している APPL プロファイルが接頭部プロファイルになります。それ以外の場合、APPL プロファイル名は CBS390 です。 WebSphere サービスを使用するすべての z/OS ID に、APPL プロファイルの読み取り権限が必要です。これには、すべての WebSphere Application Server ID、WebSphere Application Server 非認証 ID、WebSphere Application Server 管理 ID、ロールからユーザーへのマッピングに基づいたユーザー ID、 およびシステム・ユーザーに対するすべてのユーザー ID が含まれます。 APPL クラスが z/OS システム上でアクティブな状態でない場合、その値に関係なく、このプロパティーによる影響がないことに注意してください。

注: SAF プロファイル接頭部は、security.xml ファイルの com.ibm.security.SAF.profilePrefix.name プロパティーに該当します。



マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連概念
関連タスク
関連資料


ファイル名: usec_safpropszos.html