Autorização do z/OS System Authorization Facility

Utilize esta página para configurar as propriedades do SAF (System Authorization Facility) e a Autorização SAF.

Para ativar a autorização SAF:
  1. Clique em Segurança > Segurança Global > Provedores de Autorização Externa.
  2. Selecione o System Authorization Facility (SAF) da lista drop-down em Provedor de Autorização.
  3. Clique no botão Configurar.
Quando você seleciona a autorização SAF, o WebSphere Application Server utiliza a política de autorização que está armazenada no produto de segurança z/OS para autorização. Se um registro LDAP (Lightweight Access Directory Protocol) ou registro Customizado estiver configurado e a autorização SAF for especificada, um mapeamento para um proprietário do z/OS será necessário em cada login para quaisquer métodos protegidos para execução:

As propriedades comuns para usuário não-autenticado, autorização SAF e supressão de mensagem SAF EJBROLE não são mais propriedades customizadas.

Quando você seleciona essa opção, o WebSphere Application Server utiliza a política de autorização armazenada no produto de segurança z/OS para autorização.

ID do Usuário Não-autenticado

Especifica o ID do usuário MVS que é utilizado para representar pedidos de servlet não protegidos quando a autorização SAF é especificada ou um registro do sistema operacional local é configurado. Esse ID do usuário deve ter no máximo 8 caracteres de comprimento.

Esta definição de propriedade é utilizada nas seguintes instâncias:
  • Para autorização, se um servlet não protegido chama um bean de entidade
  • Para identificação de um servlet não protegido para chamar um conector z/OS, como o CICS (Customer Information Control System) ou IMS (Information Management System), que utiliza uma identidade atual quando res-auth=container
  • Quando ocorre a tentativa de uma Função de Sincronização com o Encadeamento do S.O. iniciada pelo aplicativo
Para obter informações adicionais, consulte os artigos a seguir no centro de informações:
  • "Entendendo a Sincronização com o Encadeamento do S.O. Permitida do Aplicativo
  • "Quando Utilizar a Sincronização com o Encadeamento do S.O. Permitida do Aplicativo
Mapeador de Perfil SAF

Especifica o nome do perfil SAF EJBRole para o qual um nome de função J2EE (Java 2 Platform, Enterprise Edition) é mapeado. O nome especificado implementa a interface com.ibm.websphere.security.SAFRoleMapper.

Para obter informações adicionais consulte Desenvolvendo um Mapeador de Função EJB SAF

Ativar Delegação SAF

Especifica que as definições SAF EJBROLE são designadas à identidade do usuário MVS que torna-se a identidade ativa quando você seleciona a função especificada RunAs.

Selecione a opção Ativar Delegação SAF apenas se você selecionar a opção Ativar Autorização SAF como o provedor de autorização externo.

Utilizar o Perfil do APPL para Restringir o Acesso ao Servidor de Aplicativos

Utilize o perfil do APPL para restringir o acesso ao WebSphere Application Server.

Se você definiu um prefixo de perfil do SAF, o perfil do APPL utilizado será o prefixo do perfil. Caso contrário, o nome do perfil do APPL será CBS390. Todas as identidades do z/OS utilizando serviços do WebSphere deverão ter permissão de LEITURA ao perfil do APPL. Isso inclui todas as identidades do WebSphere Application Server, identidades não autenticadas do WebSphere Application Server, identidades administrativas do WebSphere Application Server, IDs de usuário baseados em mapeamentos de função para usuário e todas as identidades de usuários do sistema. Se a classe do APPL não estiver ativa no sistema z/OS, essa propriedade não terá efeito, independentemente do seu valor.

Padrão: Ativado.
Suprimir Mensagens de Falha de Autorização do Produto de Segurança z/OS

Especifica se as mensagens ICH408I estão ativadas ou desativadas. O valor padrão para essas configurações é false (desmarcado), o que não suprime as mensagens.

O SMF (System Management Facility) registra as violações de acesso, independentemente do valor especificado para esta nova propriedade. Essa propriedade afeta a geração de mensagens de violação de acesso para funções definidas pelo aplicativo e para funções definidas pelo tempo de execução do servidor de aplicativos para os subsistemas de nomenclatura e administrativo. As verificações de perfil EJBROLE são feitas para verificações declarativas e programáticas:
  • As verificações declarativas são codificadas como restrições de segurança em aplicativos da Web e os descritores de implementação são codificados como restrições de segurança em arquivos EJB (Enterprise JavaBeans). Essa propriedade não é utilizada para controlar as mensagens nesse caso. Em vez disso, é permitido um conjunto de funções e, se ocorrer uma violação de acesso, uma mensagem de violação de acesso ICH408I indicará um defeito para uma das funções. O SMF, então, registra uma única violação de acesso para essa função.
  • As verificações lógicas do programa, ou verificações de acesso, são desempenhadas utilizando o método isCallerinRole(x) programático para beans corporativos ou o método isUserInRole(x) para aplicativos da Web. Se a propriedade da estratégia do registro de auditoria SMF estiver definida para ASIS, NOFAIL ou NONE, a propriedade com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress controla as mensagens que são geradas por esta chamada. A supressão de mensagem sempre está ativa para funções administrativas se a estratégia do registro de auditoria SMF estiver definida para Padrão
Evitar Problemas:
  • Se você estiver executando na Versão 7.0.0.3, ou mais recente, e não desejar mensagens de função administrativa suprimidas quando a estratégia do registro de auditoria SMF estiver configurada para Padrão, defina a propriedade com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin para false. O valor especificado para esta propriedade substitui qualquer configuração que determina a supressão de mensagem para funções administrativas.
  • Quando uma autorização de terceiros, como do Tivoli Access Manager ou do SAF para z/OS for utilizada, as informações do painel do console administrativo podem não representar os dados do provedor. Além disso, quaisquer alterações no painel podem não ser refletidas no provedor automaticamente. Siga as instruções do provedor para propagar quaisquer alterações feitas para o provedor.
gotcha

Para obter informações adicionais sobre autorização SAF, consulte "Controlando Acesso para Usuários do Console ao Utilizar um Registro do S.O. Local" no centro de informações. Para obter informações adicionais sobre funções administrativas, consulte "Funções Administrativas" no centro de informações.

Padrão: Desativado, que não suprime mensagens.
Estratégia de Registro de Auditoria SMF

Determina quando um registro de auditoria é gravado no SMF (System Management Facility. Em cada chamada de autorização, o RACF ou um produto equivalente baseado em SAF, pode gravar um registro de auditoria para SMF com o resultado da verificação de autorização.

O WebSphere Application Server para z/OS utiliza as operações SAF RACROUTE AUTH e RACROUTE FASTAUTH e transmite a opção LOG especificada na configuração de segurança. As opções são DEFAULT, ASIS, NOFAIL e NONE.

As opções a seguir estão disponíveis a partir da lista drop-down:
DEFAULT

Quando restrições de múltiplas funções são especificadas, como um usuário deve estar em uma de um conjunto de funções, todas as funções, exceto a última função, são marcadas com a opção NOFAIL. Se a autorização for concedida em uma das funções antes da última função, o WebSphere Application Server gravará um registro de sucesso de autorização. Se a autorização não for bem-sucedida nessas funções, a última função é marcada com a opção de registro ASIS. Se o usuário for autorizado para a última função, um registro de sucesso deve ser gravado. Se o usuário não for autorizado, um registro de falha pode ser gravado.

ASIS
Especifica que os eventos de auditoria são registrados na maneira especificada no perfil que protege o recurso ou na maneira especificada pelas opções SETROPTS.
NOFAIL
Especifica que falhas não são registradas. As mensagens de falha de autorização não são emitidas, mas os registros de auditoria de autorização bem-sucedida podem ser gravados.
NONE
Especifica que nem êxitos nem falhas são registrados.

Somente um registro de falha de autorização é gravado para uma verificação de autorização J2EE em falha, mesmo se várias chamadas de autorização SAF forem feitas. Para obter mais informações sobre as opções LOG para SAF RACROUTE AUTH e RACROUTE FASTAUTH, consulte a documentação do RACF ou do produto equivalente baseado no SAF.

Prefixo de Perfil SAF

Especifica um prefixo que será incluído em todos os perfis SAF EJBROLE utilizados para as funções do Java EE. Esse prefixo também é utilizado como o nome do perfil APPL e inserido no nome do perfil utilizado para verificações CBIND. Não há nenhum valor padrão para o campo de prefixo do perfil SAF. Se um prefixo não for especificado explicitamente, então, nenhum prefixo será incluído nos perfis SAF EJBROLE e o valor padrão CBS390 será utilizado como o nome do perfil APPL e nada será inserido no nome do perfil para verificações CBIND.

Você pode utilizar o perfil do APPL para restringir o acesso ao WebSphere Application Server

Se você definiu um prefixo de perfil do SAF, o perfil do APPL utilizado será o prefixo do perfil. Caso contrário, o nome do perfil do APPL será CBS390. Todas as identidades do z/OS utilizando serviços do WebSphere deverão ter permissão de LEITURA ao perfil do APPL. Isso inclui todas as identidades do WebSphere Application Server, identidades não autenticadas do WebSphere Application Server, identidades administrativas do WebSphere Application Server, IDs de usuários baseados em mapeamentos de função-para-usuário e todas as identidades de usuários do sistema. Observe que se a classe do APPL não estiver ativa no sistema z/OS, essa propriedade não terá efeito, independentemente do seu valor.

Nota: O prefixo do perfil do SAF corresponde à propriedade com.ibm.security.SAF.profilePrefix.name no arquivo security.xml.



Links marcados (on-line) requerem acesso à Internet.

Conceitos relacionados
Tarefas relacionadas
Referências relacionadas


Nome do arquivo: usec_safpropszos.html