「z/OS 系統授權機能」授權

請利用這個頁面來配置「系統授權機能 (SAF)」和「SAF 授權」內容。

如果要啟用 SAF 授權,請執行下列動作:
  1. 按一下安全 > 廣域安全 > 外部授權提供者
  2. 從「授權提供者」的下拉清單中選取系統授權機能 (SAF)
  3. 按一下配置按鈕。
當您選取 SAF 授權時,WebSphere® Application Server 會使用儲存在 z/OS 安全產品中的授權原則來進行授權。 如果已配置「輕量型目錄存取通訊協定」(LDAP) 登錄或自訂登錄,且指定了 SAF 授權,每次登入時都需要對映至 z/OS® 主體,才能執行受保護的方法:

未經鑑別的使用者、SAF 授權以及 SAF EJBROLE 訊息抑制的一般內容已不再是自訂內容。

當您選取這個選項時,WebSphere Application Server 會使用儲存在 z/OS 安全產品中的授權原則來進行授權。

未經鑑別的使用者 ID

指定在指定了 SAF 授權或配置了本端作業系統登錄時,用來代表未受保護之 Servlet 要求的 MVS™ 使用者 ID。這個使用者 ID 不能超出 8 個字元。

下列實例使用這個內容定義:
  • 在未受保護的 Servlet 呼叫 Entity Bean 時,作為授權之用
  • 識別呼叫 z/OS 連接器(例如,客戶資訊控制系統 (CICS®) 或資訊管理系統 (IMS™))的未受保護 Servlet,當 res-auth=container 時會使用現行身分
  • 嘗試啟動應用程式起始的「與 OS 執行緒同步」功能時
如需相關資訊,請參閱資訊中心的下列文章:
  • 「瞭解應用程式的允許與 OS 執行緒同步」
  • 「何時使用應用程式的允許與 OS 執行緒同步」
SAF 設定檔對映器

指定 Java™ 2 Platform Enterprise Edition (J2EE) 角色名稱所對映的目標 SAF EJBRole 設定檔名稱。 您指定的名稱會實作 com.ibm.websphere.security.SAFRoleMapper 介面。

如需相關資訊,請參閱開發自訂 SAF EJB 角色對映器

啟用 SAF 委派

指定當選取指定的執行身分角色時,指派給 SAF EJBROLE 定義的 MVS 使用者會成為作用中的使用者身分。

只有在選取啟用 SAF 授權選項作為外部授權提供者時,才能選取啟用 SAF 委派選項。

使用 APPL 設定檔來限制應用程式伺服器的存取權

請使用 APPL 設定檔來限制 WebSphere Application Server 的存取權。

如果您已定義 SAF 設定檔字首,則使用的 APPL 設定檔就是該設定檔字首。否則,APPL 設定檔名稱為 CBS390。 所有使用 WebSphere 服務的 z/OS 身分都應該具有 APPL 設定檔的讀取權。這包括所有 WebSphere Application Server 身分、WebSphere Application Server 未經鑑別的身分、WebSphere Application Server 管理身分、以角色至使用者對映為基礎的使用者 ID,以及系統使用者的所有使用者身分。如果 APPL 類別在 z/OS 系統中沒有作用,則無論其值為何,這個內容都沒有作用。

預設值: 已啟用。
抑制 z/OS 安全產品的授權失敗訊息

指定開啟或關閉 ICH408I 訊息。這項設定的預設值是 false(不勾選),即不會抑制訊息。

不論對這個新內容指定什麼值,系統管理機能 (SMF) 都會記錄存取違規。 這個內容會影響命名和管理子系統的應用程式定義角色,及應用程式執行時期定義角色是否產生存取違規訊息。EJBROLE 設定檔是針對宣告和程式化檢查而檢查:
  • 在 Web 應用程式中是撰寫宣告式檢查作為安全限制,在 Enterprise JavaBeans™ (EJB) 檔案中,則是撰寫部署描述子作為安全限制。 在這種情況下,這個內容的目的就不是控制訊息了。 反之,會允許一組角色,如果發生存取違規,ICH408I 存取違規訊息會指出其中一個角色失敗。 接著 SMF 會針對該角色,記錄一個存取違規。
  • 執行程式邏輯和存取檢查時,對於 Enterprise Bean 是使用 isCallerinRole(x) 作為 執行檢查的方法,而對 Web 應用程式則是使用 isUserInRole(x) 方法來執行檢查。如果 SMF 審核記錄策略內容設為 ASISNOFAILNONE,則 com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress 內容會控制這個呼叫所產生的訊息。如果 SMF 審核記錄策略內容設為 Default,則一律會對管理角色啟用訊息抑制
避免問題:
  • 如果您執行於 7.0.0.3 版或更新版本,且不想在 SMF 審核記錄策略設為 Default 時抑制管理角色訊息,請將 com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin 內容設為 false。指定給此內容的值,會置換任何控管管理角色之訊息抑制的其他設定。
  • 當使用 Tivoli Access Manager 或 SAF for z/OS 等協力廠商授權時,管理主控台畫面中的資訊可能不代表提供者中的資料。另外,在這個畫面中所作的任何變更可能不會自動反映在提供者中。請遵循提供者的指示來傳播對提供者所作的變更。
gotcha

如需 SAF 授權的相關資訊,請參閱資訊中心中的「當使用本端 OS 登錄時,主控台使用者的存取控制」。如需管理角色的相關資訊,請參閱資訊中心中的「管理角色」。

預設值: 已停用,不會抑制訊息。
SMF 審核記錄策略

決定何時將審核記錄寫入「系統管理機能 (SMF)」中。在每一次授權呼叫中,RACF®(或同等 SAF 型產品)都可以將審核記錄連同授權檢查結果寫到 SMF 中。

WebSphere Application Server for z/OS 使用 SAF RACROUTE AUTH 和 RACROUTE FASTAUTH 作業,且會傳遞安全配置所指定的 LOG 選項。 選項包括: DEFAULT、ASIS、NOFAIL 和 NONE。

下列選項可從下拉清單中取得:
DEFAULT

當指定多個角色限制時(例如,使用者必須是某組角色中之一),則會使用 NOFAIL 選項來檢查最後一個角色以外的所有角色。如果是授權在最後一個角色前的一個角色中,WebSphere Application Server 會撰寫授權成功記錄。 如果在這些角色中授權不成功,則會使用 ASIS 登入選項來檢查最後一個角色。如果將使用者授權給最後一個角色,則可能寫入成功記錄。如果使用者未獲得授權,則可能寫入失敗記錄。

ASIS
指定採用設定檔中所指定的方式(可保護資源)或採用 SETROPTS 選項所指定的方式,來記錄審核事件。
NOFAIL
指定不記錄失敗。不會發出授權失效訊息,但可能會寫入成功授權審核記錄。
指定不論是成功或失敗都不記錄。

即使發出多次 SAF 授權呼叫,在失敗的 J2EE 授權檢查方面,只會寫入一筆授權失敗記錄。如需 SAF RACROUTE AUTH 和 RACROUTE FASTAUTH 之 LOG 選項的相關資訊,請參閱 RACF 或同等 SAF 型產品的文件。

SAF 設定檔字首

指定要新增到 Java EE 角色所用的所有 SAF EJBROLE 設定檔的字首。 這個字首也用來作為 APPL 設定檔名稱,會插入 CBIND 檢查所用的設定檔名稱。 SAF 設定檔字首欄位沒有預設值。 如果未明確指定字首,就不會新增任何字首到 SAF EJBROLE 設定檔中,預設值 CBS390 會用來作為 APPL 設定檔名稱,不會將任何項目插入 CBIND 檢查的設定檔名稱中。

您可以使用 APPL 設定檔來限制 WebSphere Application Server 的存取權

如果您已定義 SAF 設定檔字首,則使用的 APPL 設定檔就是該設定檔字首。否則,APPL 設定檔名稱為 CBS390。 所有使用 WebSphere 服務的 z/OS 身分都應該具有 APPL 設定檔的讀取權。 這包括所有 WebSphere Application Server 身分、WebSphere Application Server 未經鑑別的身分、WebSphere Application Server 管理身分、以角色至使用者對映為基礎的使用者 ID,以及系統使用者的所有使用者身分。 請注意,如果 APPL 類別在 z/OS 系統中沒有作用,則無論其值為何,這個內容都沒有作用。

註: SAF 設定檔字首對應至 security.xml 檔中的 com.ibm.security.SAF.profilePrefix.name 內容。



標示(線上)的鏈結表示需要存取網際網路。

相關概念
相關工作
相關參考


檔名: usec_safpropszos.html