Autorisation SAF (System Authorization Facility) z/OS

Cette page permet de configurer le système SAF (System Authorization Facility) et les propriétés de l'autorisation SAF.

Pour activer l'autorisation SAF :
  1. Cliquez sur Sécurité > Sécurité globale > Fournisseurs d'autorisations externes.
  2. Sélectionnez Autorisation SAF (System Authorization Facility) dans la liste déroulante.
  3. Cliquez sur le bouton Configurer.
Lorsque vous sélectionnez Autorisation SAF, WebSphere Application Server utilise la règle d'autorisation stockée dans le produit de sécurité z/OS pour l'autorisation. Si un registre LDAP (Lightweight Access Directory Protocol) ou personnalisé est configuré et que l'autorisation SAF est spécifiée, un mappage vers le principal z/OS est nécessaire à chaque connexion pour que les méthodes protégées soient exécutées :

Les propriétés usuelles d'utilisateur non authentifié, d'autorisation SAF et de suppression de message SAF EJBROLE ne font plus partie des propriétés personnalisées.

Lorsque vous sélectionnez cette option, WebSphere Application Server utilise la règle d'autorisation stockée dans le produit de sécurité z/OS pour autorisation.

ID utilisateur non authentifié

Indique l'ID utilisateur MVS utilisée pour représenter les demandes de servlets non protégées lorsque le mécanisme d'autorisation SAF est défini ou qu'un registre du système d'exploitation local est configuré. Cet ID utilisateur ne doit pas dépasser 8 caractères.

Cette définition de propriété est utilisée dans les cas suivants :
  • L'autorisation, si un servlet non protégé appelle un bean entity
  • L'identification d'un servlet non protégé pour l'appel d'un système CICS (Customer Information Control System) ou IMS (Information Management System) de connecteur z/OS qui utilise une identité en cours lorsque res-auth=container
  • Lors de l'exécution d'une fonction d'unité d'exécution de synchronisation avec le système d'exploitation lancée par une application.
Pour plus d'informations, consultez les articles suivants du centre de documentation :
  • "Présentation de l'application Synchronisation autorisée avec l'unité d'exécution du système"
  • "Utilisation de l'application Synchronisation autorisée avec l'unité d'exécution du système"
Associateur de profils SAF

Indique le nom d'un profil SAF EJBRole auquel un nom de rôle Java 2 Platform, Enterprise Edition (J2EE) est associé. Le nom indiqué implémente l'interface com.ibm.websphere.security.SAFRoleMapper.

Pour plus d'informations, voir Développement d'un associateur de rôles EJB SAF personnalisé

Activer la délégation SAF

Spécifie que les définitions SAF EJBROLE reçoivent l'ID utilisateur MVS destiné à devenir l'identité active lors de la sélection du rôle RunAs spécifié.

Ne sélectionnez l'option Activer la délégation SAF que si vous avez sélectionné l'option Activer l'autorisation SAF comme fournisseur d'autorisations externe.

Utiliser le profil APPL pour restreindre l'accès au serveur d'applications

Permet d'utiliser le profil APPL pour restreindre l'accès au serveur d'applications.

Si vous avez défini un préfixe de profil SAF, le profil APPL utilisé est le préfixe de ce profil. Sinon, le nom du profil sera CBS390. Toutes les identités z/OS qui utilisent les services WebSphere doivent avoir le droit de lecture sur le profil APPL. Cela inclut toutes les identités WebSphere Application Server, les identités WebSphere Application Server non authentifiées, les identités WebSphere Application Server administrative, les ID utilisateur basées sur des mappages rôle à utilisateur et toutes les identités d'utilisateur pour les utilisateurs. Si la classe APPL est inactive sur le système z/OS, cette propriété est sans effet quelque soit sa valeur.

Valeur par défaut Activé
Supprimer les messages d'échec d'autorisation du produit de sécurité z/OS

Indique si les messages ICH408I sont arrêtés ou démarrés. La valeur par défaut de ce paramètre est false (désélectionné), ce qui ne supprime pas les messages.

Quelle que soit la valeur de cette propriété, SMF (System Management Facility) enregistre les violations d'accès. Cette propriété affecte la génération de message de violation d'accès à la fois pour les rôles définis par l'application et pour ceux définis en phase d'exécution du serveur d'applications pour les sous-systèmes de désignation et d'administration. Des vérifications de profil EJBROLE sont effectuées pour les contrôles déclaratifs et par programmation :
  • Des contrôles déclaratifs sont codés en tant que contraintes de sécurité dans les applications Web et des descripteurs de déploiement, en tant que contraintes de sécurité dans les fichiers EJB (Enterprise JavaBeans). Dans ce cas, cette propriété n'est pas utilisée pour contrôler les messages. Toutefois, un ensemble de rôles est autorisé et, en cas de violation d'accès, un message ICH408I de violation d'accès signale un échec pour l'un des rôles. SMF ne consigne alors qu'une seule violation d'accès pour ce rôle.
  • Des contrôles logiques par programmation ou des contrôles d'accès sont effectués à l'aide d'isCallerinRole(x) pour les beans enterprise ou d'isUserInRole(x) pour les applications Web. Si la propriété de la stratégie d'enregistrement d'audit SMF a la valeur ASIS, NOFAIL ou NONE, la propriété com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress contrôle les messages générés par cet appel. La suppression des messages est toujours activée pour les rôles d'administration si la propriété de la stratégie d'enregistrement d'audit SMF a la valeur Par défaut
Eviter les incidents :
  • Si vous utilisez la version 7.0.0.3 ou une version ultérieure et que vous ne souhaitez pas que les messages du rôle d'administration soient supprimés lorsque la stratégie d'enregistrement d'audit SMF a la valeur Par défaut, affectez à la propriété com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin la valeur false. La valeur spécifiée pour cette propriété écrase tout autre paramètre qui gouverne la suppression des messages pour les rôles d'administration.
  • Lorsqu'un fournisseur d'autorisation tiers, tel que Tivoli Access Manager ou SAF pour z/OS est utilisé, les informations contenues dans le panneau de la console d'administration peuvent ne pas représenter les données du fournisseur. De plus, toute modification apportée à ce panneau peut ne pas être prise en compte automatiquement. Suivez les instructions du fournisseur pour propager les éventuelles modifications apportées au fournisseur.
gotcha

Pour plus d'informations sur l'autorisation SAF, voir la section "Controlling access to console users when using a Local OS registry" du centre de documentation. Pour plus d'informations sur les rôles administratifs, voir la section "Administrative roles" du centre de documentation.

Valeur par défaut Désactivée, ce qui ne supprime pas les messages.
Stratégie d'enregistrement d'audit SMF

Détermine quand un enregistrement d'audit est écrit dans la fonction SMF (System Management Facility). A chaque appel d'autorisation, RACF, ou un produit basé SAF équivalent, peut écrire un enregistrement d'audit dans SMF avec le résultat de la vérification d'autorisation.

WebSphere Application Server pour z/OS utilise les opérations SAF RACROUTE AUTH et RACROUTE FASTAUTH et transmet l'option LOG indiquée dans la configuration de sécurité. Les options sont DEFAULT, ASIS, NOFAIL et NONE.

La liste déroulante présente les options suivantes :
DEFAULT

Lorsque plusieurs contraintes de rôle sont précisées (par exemple, un utilisateur doit figurer dans l'un des ensembles de rôles), tous les rôles à l'exception du dernier sont vérifiés avec l'option NOFAIL. Si l'autorisation est accordée dans l'un des rôles avant le dernier, WebSphere Application Server écrit un enregistrement de réussite d'autorisation. Si l'autorisation n'aboutit pas dans ces rôles, le dernier rôle est vérifié avec l'option ASIS. Si l'utilisateur est autorisé pour le dernier rôle, un enregistrement de réussite peut être écrit. S'il n'est pas autorisé en revanche, un enregistrement d'échec peut être écrit.

ASIS
Indique que les événements d'audit sont enregistrés de la façon expliquée dans le profil qui protège la ressource, ou bien de celle décrite par les options SETROPTS.
NOFAIL
Indique que les échecs ne sont pas enregistrés. Les messages d'échec d'autorisation ne sont pas émis, mais des enregistrements d'audit d'autorisation réussie peuvent être écrits.
NONE
Indique qu'aucune réussite et aucun échec ne sont enregistrés.

Un seul enregistrement d'échec d'autorisation est écrit pour l'échec de vérification d'une autorisation J2EE si plusieurs appels d'autorisation sont effectués. Pour plus d'informations sur les options LOG pour SAF RACROUTE AUTH et RACROUTE FASTAUTH, voir la documentation du produit basé sur RACF ou équivalent SAF.

Préfixe de profil SAF

Indique le préfixe à ajouter à tous les profils SAF EJBROLE utilisés pour les rôles Java EE. Ce préfixe est également utilisé en tant que nom de profil APPL et ajouté au nom de profil utilisé pour les vérifications CBIND. Il n'existe pas de valeur par défaut pour la zone Préfixe de profil SAF. Si aucun préfixe n'est spécifié, aucun préfixe n'est ajouté aux profils SAF EJBROLE ; la valeur par défaut CBS390 est utilisée en tant que nom de profil APPL et rien n'est ajouté au nom de profil pour les vérifications CBIND.

Vous pouvez utiliser un profil APPL pour limiter l'accès à WebSphere Application Server.

Si vous avez défini un préfixe de profil SAF, le profil APPL utilisé est le préfixe de ce profil. Sinon, le nom du profil sera CBS390. Toutes les identités z/OS qui utilisent les services WebSphere doivent avoir le droit de lecture sur le profil APPL. Cela inclut toutes les identités WebSphere Application Server, les identités WebSphere Application Server non authentifiées, les identités WebSphere Application Server administratives, les ID utilisateur basés sur des mappages rôle à utilisateur et toutes les identités d'utilisateur pour les utilisateurs système. Notez que, si la classe APPL est inactive sur le système z/OS, cette propriété est sans effet quelque soit sa valeur.

Remarque : Le préfixe du profil SAF correspond à la propriété com.ibm.security.SAF.profilePrefix.name du fichier security.xml.



Les liens marqués (en ligne) requièrent un accès à Internet.

Concepts associés
Tâches associées
Référence associée


Nom du fichier : usec_safpropszos.html