Autoryzacja narzędzia z/OS System Authorization Facility

Ta strona służy do konfigurowania narzędzia autoryzacji SAF i właściwości autoryzacji SAF.

Aby włączyć autoryzację SAF:
  1. Kliknij opcję Zabezpieczenia > Zabezpieczenia globalne > Zewnętrzni dostawcy autoryzacji.
  2. Należy wybrać opcję Autoryzacja SAF (System Authorization Facility) z listy rozwijanej znajdującej się w obszarze Dostawca autoryzacji.
  3. Należy kliknąć przycisk Konfiguruj.
Jeśli zostanie wybrana opcja Autoryzacja SAF, serwer WebSphere Application Server użyje do autoryzacji strategii autoryzacji zapisanej w produkcie obsługującym zabezpieczenia na platformie z/OS. Jeśli skonfigurowano rejestr LDAP (Lightweight Access Directory Protocol) lub rejestr niestandardowy i zostanie określona autoryzacja SAF, dla każdej uruchamianej metody chronionej przy każdym logowaniu wymagane jest odwzorowanie na element główny systemu z/OS:

Wspólne właściwości dla nieuwierzytelnionych użytkowników, autoryzacji SAF i pomijania komunikatów SAF EJBROLE nie są już właściwościami niestandardowymi.

Jeśli ta opcja zostanie wybrana, serwer WebSphere Application Server użyje do autoryzacji strategii autoryzacji zapisanej w produkcie obsługującym zabezpieczenia na platformie z/OS.

Identyfikator użytkownika nieuwierzytelnionego

Określa identyfikator użytkownika MVS, który jest używany jako reprezentacja niechronionych żądań serwletów po wybraniu autoryzacji SAF lub skonfigurowaniu lokalnego rejestru systemowego. Ten identyfikator użytkownika może mieć długość maksymalnie 8 znaków.

Ta definicja właściwości jest używana w następujących przypadkach:
  • Do autoryzacji, jeśli niechroniony serwlet wywołuje komponent EJB.
  • Do identyfikacji niechronionego serwletu w celu wywoływania konektorów systemu z/OS, takich jak Customer Information Control System (CICS) lub Information Management System (IMS), które używają bieżącej tożsamości, gdy zachodzi warunek res-auth=container
  • Podczas próby uruchomienia przez aplikację funkcji synchronizacji z wątkiem systemu operacyjnego.
Więcej informacji na ten temat można znaleźć w następujących tekstach w Centrum informacyjnym:
  • "Zrozumienie aplikacji zezwolenia na synchronizację aplikacji z wątkiem systemu operacyjnego"
  • "Kiedy używać zezwolenia na synchronizację aplikacji z wątkiem systemu operacyjnego"
Program odwzorowujący profil SAF

Służy do określania nazwy profilu SAF EJBRole, na który odwzorowywana jest nazwa roli Java 2 Platform, Enterprise Edition (J2EE). Określona nazwa implementuje interfejs com.ibm.websphere.security.SAFRoleMapper.

Dodatkowe informacje zawiera temat Tworzenie niestandardowego programu odwzorowującego role SAF EJB.

Włącz delegację SAF

Określa, czy definicje SAF EJBROLE mają przypisaną tożsamość użytkownika MVS, która staje się aktywna po wybraniu określonej roli RunAs.

Opcję Włącz delegację SAF należy włączyć tylko wtedy, gdy jako zewnętrznego dostawcę autoryzacji wybrano opcję Włącz autoryzację SAF.

Za pomocą profilu APPL można ograniczyć dostęp do serwera aplikacji

Za pomocą profilu APPL można ograniczyć dostęp do serwera WebSphere Application Server.

Jeśli został zdefiniowany przedrostek profilu SAF, to używanym profilem APPL jest profil określony w przedrostku profilu. W przeciwnym razie nazwą profilu APPL jest CBS390. Wszystkie tożsamości systemu z/OS używające usług WebSphere powinny mieć uprawnienie do odczytu profilu APPL. Dotyczy to wszystkich tożsamości serwera WebSphere Application Server, nieuwierzytelnionych tożsamości serwera WebSphere Application Server, tożsamości administracyjnych serwera WebSphere Application Server, ID użytkowników opartych na odwzorowaniach rola-użytkownik oraz wszystkich tożsamości użytkowników systemu. Jeśli klasa APPL nie jest aktywna w systemie z/OS, to ta właściwość nie będzie miała żadnego znaczenia, bez względu na swoją wartość.

Wartość domyślna: Włączone.
Ukryj komunikaty niepowodzenia autoryzacji pochodzące z produktu obsługującego zabezpieczenia na platformie z/OS

Określa, czy komunikaty ICH408I są włączone, czy wyłączone. Wartością domyślną tych ustawień jest false (niezaznaczona), co powoduje włączenie komunikatów.

Narzędzie zarządzania systemem (SMF) rejestruje naruszenia dostępu niezależnie od wartości określonej dla tej nowej właściwości. Ta właściwość dotyczy generowania komunikatów o naruszeniu dostępu dla ról zdefiniowanych przez aplikacje i dla ról środowiska wykonawczego serwera aplikacji dla podsystemów nadawania nazw i administrowania. Sprawdzenie profili EJBROLE odbywa się zarówno w przypadku sprawdzeń deklaratywnych, jak i programowych:
  • Sprawdzenia deklaratywne kodowane są jako ograniczenia zabezpieczeń w aplikacjach WWW, natomiast deskryptory wdrażania kodowane są jako ograniczenia zabezpieczeń w plikach Enterprise JavaBeans (EJB). Ta właściwość nie jest w tym przypadku używana do sterowania komunikatami. Zamiast tego dozwolony jest zestaw ról i jeśli ma miejsce naruszenie dostępu, komunikat o naruszeniu dostępu ICH408I oznacza niepowodzenie jednej z tych ról. Następnie SMF rejestruje pojedyncze naruszenie dostępu dla tej roli.
  • Sprawdzanie logiki programu (lub sprawdzenia dostępu) przeprowadzane jest programowo, przy użyciu funkcji isCallerinRole(x) dla komponentu EJB lub funkcji isUserInRole(x) dla aplikacji WWW. Jeśli dla właściwości Strategia rekordów kontroli SMF ustawiono wartość ASIS, NOFAIL lub NONE, właściwość com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress steruje komunikatami generowanymi przez to wywołanie. Jeśli dla właściwości Strategia rekordów kontroli SMF ustawiono wartość Default (domyślnie), pomijanie komunikatów jest zawsze włączone dla ról administracyjnych.
Unikanie problemów:
  • W przypadku korzystania z wersji 7.0.0.3 lub nowszej, jeśli nie ma obowiązywać pomijanie komunikatów dla roli administracyjnej po ustawieniu wartości Default (domyślnie) dla właściwości Strategia rekordów kontroli SMF, dla właściwości com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin należy ustawić wartość false (fałsz). Wartość określona dla tej właściwości przesłania inne ustawienia zarządzające pomijaniem komunikatów dla ról administracyjnych.
  • Jeśli używane jest uwierzytelnianie innej firmy, jak np. program Tivoli Access Manager lub SAF dla platformy z/OS, informacje zawarte w panelu Konsoli administracyjnej mogą różnić się od danych dostawcy. Także jakiekolwiek zmiany panelu mogą nie być automatycznie odzwierciedlone w dostawcy. Należy wykonać instrukcje dostawcy, aby wprowadzić zmiany wprowadzone dla dostawcy.
gotcha

Więcej informacji o autoryzacji SAF znajduje się w Centrum informacyjnym, w sekcji "Kontrolowanie dostępu do użytkowników konsoli podczas używania rejestru lokalnego systemu operacyjnego". Więcej informacji o rolach administracyjnych znajduje się w w Centrum informacyjnym w sekcji "Role administracyjne".

Wartość domyślna: Wyłączony, co nie powoduje pomijania komunikatów.
Strategia rekordów kontroli SMF

Określa, kiedy rekord kontroli jest zapisywany w narzędziu zarządzania systemem (SMF). Przy każdym wywołaniu autoryzacji RACF lub ekwiwalentny produkt oparty na SAF może zapisać rekord kontroli w SMF, co powoduje sprawdzanie autoryzacji.

Serwer WebSphere Application Server for z/OS używa operacji SAF RACROUTE AUTH i RACROUTE FASTAUTH i przekazuje opcję LOG, która jest określona w konfiguracji zabezpieczeń. Opcje te to DEFAULT, ASIS, NOFAIL i NONE.

Na liście rozwijanej dostępne są następujące opcje:
DEFAULT

Jeśli zostanie określonych wiele reguł ograniczających role, takich jak konieczność przypisania użytkownika do jednego z zestawów ról, wszystkie role za wyjątkiem ostatniej sprawdzane są za pomocą opcji NOFAIL. Jeśli autoryzacja zostanie nadana jednej z ról przed ostatnią rolą, serwer WebSphere Application Server zapisuje rekord udanej autoryzacji. Jeśli autoryzacja w tych rolach nie powiedzie się, ostatnia rola sprawdzana jest przy użyciu opcji dziennika ASIS. Jeśli użytkownik ma autoryzację do ostatniej roli, może zostać zapisany rekord powodzenia. Jeśli użytkownik nie ma autoryzacji, może zostać zapisany rekord niepowodzenia.

ASIS
Określa, że zdarzenia kontrolowane są rejestrowane w sposób określony w profilu, który chroni zasób, lub w sposób określony przez opcje SETROPTS.
NOFAIL
Określa, że niepowodzenia nie są zapisywane. Komunikaty o niepowodzeniu autoryzacji nie są wysyłane, ale rekordy kontroli udanej autoryzacji mogą zostać zapisane.
BRAK
Określa, że ani powodzenia ani niepowodzenia nie są zapisywane.

Tylko jeden rekord niepowodzenia autoryzacji jest zapisywany w celu sprawdzenia nieudanej autoryzacji J2EE, nawet w przypadku kilku wywołań autoryzacji SAF. Więcej informacji o opcjach LOG dla SAF RACROUTE AUTH i RACROUTE FASTAUTH zawarto w dokumentacji RACF lub ekwiwalentnego produktu opartego na SAF.

Przedrostek profilu SAF

Służy do określenia przedrostka poprzedzającego wszystkie profile SAF EJBROLE używane dla ról Java EE. Ten przedrostek jest również używany jako nazwa profilu APPL i jest wstawiany do nazwy profilu używanej podczas operacji sprawdzania CBIND. Pole Przedrostek profilu SAF nie ma wartości domyślnej. Jeśli przedrostek nie jest jawnie określony, żaden przedrostek nie jest dodawany do profili SAF EJBROLE, domyślna wartość klasy CBS390 będzie używana jako nazwa profilu APPL i nic nie będzie dodawane w nazwie profilu dla operacji sprawdzania CBIND.

Za pomocą profilu APPL można ograniczyć dostęp do serwera WebSphere Application Server

Jeśli został zdefiniowany przedrostek profilu SAF, to używanym profilem APPL jest profil określony w przedrostku profilu. W przeciwnym razie nazwą profilu APPL jest CBS390. Wszystkie tożsamości systemu z/OS używające usług WebSphere powinny mieć uprawnienie do odczytu profilu APPL. Dotyczy to wszystkich tożsamości serwera WebSphere Application Server, nieuwierzytelnionych tożsamości serwera WebSphere Application Server, tożsamości administracyjnych serwera WebSphere Application Server, ID użytkowników opartych na odwzorowaniach rola-użytkownik oraz wszystkich tożsamości użytkowników dla użytkowników systemu. Należy zauważyć, że jeśli klasa APPL nie jest aktywna w systemie z/OS, to ta właściwość nie będzie miała żadnego znaczenia, bez względu na swoją wartość.

Uwaga: Przedrostek profilu SAF odpowiada właściwości com.ibm.security.SAF.profilePrefix.name znajdującej się w pliku security.xml.



Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.

Pojęcia pokrewne
Zadania pokrewne
Odsyłacze pokrewne


Nazwa pliku: usec_safpropszos.html