Autorización de SAF (z/OS System Authorization Facility)

Utilice esta página para configurar SAF (System Authorization Facility) y las propiedades de autorización SAF.

Para habilitar la autorización SAF:
  1. Pulse Seguridad > Seguridad global > Proveedores de autorización externos.
  2. Seleccione SAF (System Authorization Facility) en la lista desplegable en Proveedor de autorización.
  3. Pulse el botón Configurar.
Cuando selecciona la autorización SAF, WebSphere Application Server utiliza la política de autorización almacenada en el producto de seguridad de z/OS para la autorización. Si el registro se ha configurado como LDAP (Lightweight Access Directory Protocol) o Personalizado y se especifica una autorización SAF, es necesaria una correlación a un principal z/OS en cada inicio de sesión para todos los métodos protegidos que deban ejecutarse:

Las propiedades comunes para usuario autenticado, autorización SAF y supresión del mensaje SAF EJBROLE han dejado de ser propiedades personalizadas.

Cuando seleccione esta opción, WebSphere Application Server utiliza la política de autorización almacenada en el producto de seguridad de z/OS para la autorización.

ID de usuario no autenticado

Especifica el ID de usuario MVS que se utiliza para representar solicitudes de servlet sin proteger cuando se especifica autorización SAF o se configura un registro de sistema operativo local. Este ID de usuario debe tener un máximo de ocho caracteres.

Esta definición de propiedad se utiliza en las instancias siguientes:
  • Para la autorización si un servlet sin proteger invoca un bean de entidad
  • Para la identificación de un servlet sin proteger para invocar un conector z/OS como por ejemplo CICS CICS (Customer Information Control System) o IMS (Information Management System), que utilizan una identidad actual cuando res-auth=container
  • Cuando se intenta una función de sincronización con la hebra del sistema operativo iniciada por la aplicación
Para obtener más información, consulte los artículos siguientes del centro de información:
  • Descripción del Permiso de sincronización con la hebra de OS de la aplicación
  • Cuándo se debe utilizar el Permiso de sincronización con la hebra de OS de la aplicación
Correlacionador de perfiles SAF

Especifica el nombre del perfil EJBRole de SAF para el que se correlaciona un nombre de rol de J2EE (Java 2 Platform, Enterprise Edition). El nombre que especifique implementa la interfaz com.ibm.websphere.security.SAFRoleMapper.

Para obtener más información, consulte Desarrollo de correlacionadores de roles EJB SAF

Habilitar la delegación SAF

Especifica que se asigne a las definiciones de EJBROLE SAF la identidad de usuario de MVS, que pasa a ser la identidad activa cuando selecciona el rol RunAs especificado.

Seleccione la opción Habilitar la delegación SAF sólo si selecciona la opción Habilitar autorización SAF como proveedor de autorización externo.

Utilice el perfil APPL para limitar el acceso al servidor de aplicaciones

Utilice el perfil APPL para limitar el acceso a WebSphere Application Server.

Si ha definido un prefijo SAF, el perfil APPL que se usa es el prefijo perfil. Si no, el nombre del perfil APPL es CBS390. Todas las identidades de z/OS que utilizan los servicios WebSphere deben tener permiso de acceso de lectura al perfil APPL. Esto incluye todas las identidades no autenticadas de WebSphere Application Server, identidades administrativas de WebSphere Application Server, ID de usuario basados en correlaciones de rol a usuario y todas las identidades de usuarios del sistema. Si la clase APPL no está activa en el sistema z/OS, esta propiedad no tiene efecto, independientemente de su valor.

Valor predeterminado: Habilitado.
Suprimir mensajes de error de autorización del producto de seguridad de z/OS

Especifica si los mensajes ICH408I se activan o desactivan. El valor predeterminado es false (desactivado), lo que no suprime los mensajes.

SMF (System Management Facility) registra las violaciones de acceso independientemente del valor especificado para esta nueva propiedad. Esta propiedad influye en la generación de mensajes de violación de acceso tanto para los roles definidos por la aplicación como para los roles definidos por la ejecución del servidor de aplicaciones para los subsistemas administrativos y de denominación. Las comprobaciones del perfil EJBROLE se efectúan tanto para las comprobaciones declarativas y programáticas:
  • Las comprobaciones declarativas se codifican como restricciones de seguridad en las aplicaciones web y los descriptores de despliegue se codifican como restricciones de seguridad en los archivos EJB (Enterprise JavaBeans). Esta propiedad no se utiliza para controlar los mensajes en este caso. En su lugar, se admite un conjunto de roles, y si se produce una violación de acceso, un mensaje de violación de acceso ICH408I indica una anomalía para uno de los roles. A continuación, SMF anota cronológicamente una única violación de acceso para ese rol.
  • Las comprobaciones de lógica de programa o comprobaciones de acceso se realizan mediante el método isCallerinRole(x) programado para beans de empresa o isUserInRole(x) para las aplicaciones web. Si la propiedad de estrategia de registro de auditoría SMF se establece en ASIS, NOFAIL, o NONE, la propiedad com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress controla los mensajes generados por esta llamada. La supresión de mensaje está siempre habilitada para roles administrativos si la propiedad de estrategia de registro de auditoría SMF se establece en Default
Evite problemas:
  • Si está ejecutando en la Versión 7.0.0.3 o posterior y no desea que se supriman los mensajes de rol administrativo cuando la estrategia de registro de auditoría SMF se establece en Default, establezca la propiedad com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin en false. El valor especificado para esta propiedad altera temporalmente cualquier otro valor que controla la supresión de mensajes para roles administrativos.
  • Cuando se utiliza una autorización de terceros como, por ejemplo, Tivoli Access Manager o SAF para z/OS, es posible que la información de este panel no represente los datos del proveedor. Asimismo, es posible que cualquier modificación de este panel no quede reflejada en el proveedor de forma automática. Siga las instrucciones del proveedor para propagar cualquier modificación del proveedor realizada aquí.
gotcha

Para obtener más información sobre la autorización SAF, consulte "Control de acceso a los usuarios por parte de los usuarios cuando se utiliza un registro OS local" en el centro de información. Para obtener más información sobre los roles administrativos, consulte "Roles de administración" en el centro de información.

Valor predeterminado: Inhabilitado, lo que no suprime los mensajes.
Estrategia de registro de la auditoría SMF

Determina cuando un registro de auditoría se ha escrito en SMF (System Management Facility). En cada llamada de autorización, RACF o un producto basado en SAF equivalente puede escribir un registro de auditoría en SMF con el resultado de la comprobación de autorización.

WebSphere Application Server para z/OS utiliza las operaciones SAF RACROUTE AUTH y RACROUTE FASTAUTH y pasa la opción LOG que se especifica en la configuración de seguridad. Las opciones son DEFAULT, ASIS, NOFAIL y NONE.

Las siguientes opciones están disponibles en la lista desplegable:
DEFAULT

Cuando se especifican varias restricciones de rol, como que un usuario debe estar en alguno de los roles de un conjunto, todos los roles excepto el último rol se verifican con la opción NOFAIL. Si se otorga la autorización en uno de los roles anterior al último rol, WebSphere Application Server escribe un registro de autorización satisfactoria. Si la autorización no es satisfactoria en estos roles, el último rol se verifica con la opción de anotación cronológica ASIS. Si el usuario tiene autorización para el último rol, puede escribirse un registro satisfactorio. Si el usuario no tiene autorización, puede escribirse un registro de anomalía.

ASIS
Especifica que los sucesos de auditoría se registran de la forma que se especifica en el perfil que protege el recurso o en el tema especificado por las opciones SETROPTS.
NOFAIL
Especifica que no se registran las anomalías. Los mensajes de anomalía en la autorización no se emiten, pero los registros de auditoría de autorización satisfactoria pueden escribirse.
NONE
Especifica que no se registran ni las operaciones satisfactorias ni las anómalas.

Sólo se escribe un registro de anomalía en la autorización para una comprobación de autorización J2EE anómala incluso si se han realizado varias llamadas de autorización SAF. Si desea más información sobre las opciones LOG para RACROUTE AUTH y RACROUTE FASTAUTH de SAF, consulte la documentación del producto de RACF o de un producto basado en SAF equivalente.

Prefijo de perfil SAF

Especifica un prefijo que se añadirá a todos los perfiles SAF EJBROLE utilizados para los roles Java EE. Este prefijo se utiliza también como nombre de perfil APPL y se inserta en el nombre de perfil utilizado para las comprobaciones CBIND. No existe un valor predeterminado para el campo Prefijo de perfil SAF. Si no se especifica explícitamente un prefijo, no se añadirá ningún prefijo a los perfiles SAF EJBROLE, se utilizará el valor predeterminado CBS390 como nombre de perfil APPL y no se insertará nada en el nombre de perfil de las comprobaciones CBIND.

Puede usar el perfil APPL para limitar el acceso a WebSphere Application Server

Si ha definido un prefijo SAF, el perfil APPL que se usa es el prefijo perfil. Si no, el nombre del perfil APPL es CBS390. Todas las identidades de z/OS que utilizan servicios de WebSphere deben tener permiso de acceso de lectura al perfil APPL. Esto incluye todas las identidades de WebSphere Application Server, las identidades no autenticadas de WebSphere Application Server, las identidades administrativas de WebSphere Application Server, los ID de usuario basados en correlación de rol a usuario y todas las identidades de usuario para usuarios del sistema. Tenga en cuenta que si la clase APPL no está activa en el sistema z/OS, esta propiedad no tiene efecto, independientemente de su valor.

Nota: El prefijo del perfil SAF corresponde a la propiedad com.ibm.security.SAF.profilePrefix.name en el archivo security.xml.



Los enlaces marcados (en línea) requieren acceso a Internet.

Conceptos relacionados
Tareas relacionadas
Referencia relacionada


Nombre de archivo: usec_safpropszos.html