Autorizzazione SAF (System Authorization Facility) z/OS

Utilizzare questa pagina per configurare le proprietà SAF (System Authorization Facility) e le proprietà di autorizzazione SAF.

Per abilitare l'autorizzazione SAF:
  1. Fare clic su Sicurezza > Sicurezza globale > Provider di autorizzazione esterno.
  2. Selezionare SAF (System Authorization Facility) dall'elenco a discesa del provider di autorizzazione.
  3. Fare clic sul pulsante Configura.
Se si seleziona l'autorizzazione SAF, WebSphere Application Server utilizza la politica di autorizzazione memorizzata nel prodotto di sicurezza z/OS per l'autorizzazione. Se viene configurato un registro LDAP (Lightweight Access Directory Protocol) o un registro personalizzato e viene specificata l'autorizzazione SAF, è necessaria un'associazione a un principal z/OS durante ogni login per tutti i metodi protetti da eseguire:

Le proprietà comuni per l'autorizzazione SAF, l'utente non autenticato e la soppressione del messaggio messaggio EJBROLE SAF non sono più proprietà personalizzate.

Se si seleziona questa opzione, WebSphere Application Server utilizza la politica di autorizzazione memorizzata nel prodotto di sicurezza z/OS per l'autorizzazione.

ID utente non autenticato

Specifica l'ID utente MVS utilizzato per rappresentare richieste servlet non protette quando viene configurato un registro di sistema locale. Questo ID utente può contenere un massimo di 8 caratteri.

Nelle seguenti istanze viene utilizzata questa definizione di proprietà:
  • Per l'autorizzazione, se un servlet non protetto richiama un bean entità
  • Per l'identificazione di un servlet non protetto per richiamare un connettore z/OS, ad esempio CICS (Customer Information Control System) o IMS (Information Management System) che utilizza un'identità corrente quando res-auth=container
  • Quando viene eseguita la funzione Sincronizzazione sul thread OS iniziata dall'applicazione
Per ulteriori informazioni, fare riferimento ai seguenti articoli nel centro informazioni:
  • "Comprensione della Sincronizzazione sul thread OS consentita delle applicazioni"
  • "Opportunità dell'utilizzo della Sincronizzazione sul thread OS consentita delle applicazioni"
Programma di associazione profilo SAF

Specifica il nome del profilo SAF EJBRole a cui è mappato il nome del ruolo J2EE (Java 2 Platform, Enterprise Edition). Il nome specificato implementa l'interfaccia com.ibm.websphere.security.SAFRoleMapper.

Per ulteriori informazioni, consultare Sviluppo di un programma di associazione ruoli EJB SAF personalizzato

Abilita delega SAF

Specifica che le definizioni SAF EJBROLE vengono assegnate all'ID utente MVS che diventerà l'identità attiva quando si seleziona il ruolo RunAs specificato.

Selezionare l'opzione Abilita delega SAF solo si seleziona l'opzione Abilita autorizzazione SAF come provider di autorizzazioni esterni.

Utilizzare il profilo APPL per limitare l'accesso al server delle applicazioni

Utilizzare il profilo APPL per limitare l'accesso a WebSphere Application Server

Se è stato definito un prefisso di profilo SAF, il profilo APPL utilizzato è il prefisso di profilo. In caso contrario, il nome del profilo APPL è CBS390. Tutte le identità z/OS che utilizzano i servizi WebSphere devono disporre dell'autorizzazione READ per il profilo APPL. Sono comprese tutte le identità di WebSphere Application Server, le identità non autenticate di WebSphere Application Server, le identità di gestione di WebSphere Application Server, gli ID utente basati sulle mappature ruolo-utente e tutte le identità utente per gli utenti di sistema. Se la classe APPL non è atytiva nel sistema z/OS, questa proprietà non ha effetto indipendentemente dal suo valore.

Valore predefinito: Abilitato.
Reprimere i messaggi falliti di autorizzazione dal prodotto di sicurezza z/OS

Specifica se i messaggi ICH408I sono attivi o meno. Il valore predefinito per questa impostazione è false (non selezionato), che non elimina i messaggi.

SMF (System Management Facility) registra le violazioni dell'accesso a prescindere dal valore specificato per questa nuova proprietà. Questa proprietà influisce sulla generazione del messaggio di violazione dell'accesso sia per i ruoli definiti dall'applicazione sia per i ruoli definiti dal runtime del server delle applicazioni per i sottosistemi di gestione e di denominazione. Le verifiche del profilo EJBROLE vengono effettuare sia per scopi dichiarativi sia per scopi programmatici:
  • I controlli dichiarativi vengono codificati come vincoli di sicurezza nelle applicazioni Web e i descrittori di distribuzione sono codificati come vincoli di sicurezza nei file EJB (Enterprise JavaBean). In questo caso, questa proprietà non viene utilizzata per controllare i messaggi. Al contrario, è disponibile una serie di ruoli e, in caso di violazione di accesso, un messaggio ICH408I di violazione di accesso indica un errore relativo a uno dei ruoli. L'SMF quindi registra un'unica violazione dell'accesso per quel ruolo.
  • I controlli della logica di programma (o controlli dell'accesso) vengono effettuati utilizzando isCallerinRole(x) programmatico per il bean enterprise o isUserInRole(x) per le applicazioni Web. La proprietà com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress controlla i messaggi generati da questa chiamata.

Per ulteriori informazioni sull'autorizzazione SAF, fare riferimento alla sezione "Controllo accessi agli utenti della console quando si utilizza un registro del sistema operativo locale" nel centro informazioni. Per ulteriori informazioni sui ruoli di gestione, fare riferimento alla sezione "Ruoli di gestione" nel centro informazioni.

Nota: Quando viene utilizzata un'autorizzazione di terzi come Tivoli Access Manager o SAF per z/OS, le informazioni nella console di gestione potrebbero non rappresentare i dati del provider. Inoltre, le modifiche apportate potrebbero non essere riflesse automaticamente nel provider. Seguire le istruzioni del provider per propagare le modifiche apportate al provider stesso.
Valore predefinito: Disabilitato, ovvero non elimina i messaggi.
Strategia di registrazione controlli SMF

Determina quando un record di controllo viene scritto in SMF (System Management Facility). Su ogni chiamata di autorizzazione, RACF o un prodotto basato su SAF equivalente, può scrivere un record di controllo in SMF con il risultato del controllo di autorizzazione.

WebSphere Application Server per z/OS utilizza le operazioni SAF RACROUTE AUTH e RACROUTE FASTAUTH e invia l'opzione LOG specificata nella configurazione di sicurezza. Le opzioni sono DEFAULT, ASIS, NOFAIL e NONE.

Per l'elenco a discesa sono possibili le seguenti opzioni:
DEFAULT

Quando vengono specificati più vincoli di sicurezza, ad esempio quando un utente deve essere presente in una serie di ruoli, tutti i ruoli ad eccezione dell'ultimo vengono contrassegnati con l'opzione NOFAIL. Se l'autorizzazione viene concessa a uno dei ruoli prima dell'ultimo, WebSphere Application Server scrive un record di autorizzazione concessa. Se l'autorizzazione non ha esito positivo in tali ruoli, l'ultimo ruolo viene contrassegnato con l'opzione di log ASIS. Se l'utente non è autorizzato all'ultimo ruolo, è possibile che venga scritto un record di operazione riuscita. Se l'utente non è autorizzato, è possibile che venga scritto un record di errore.

ASIS
Specifica gli eventi di controllo registrati nel modo specificato nel profilo che protegge la risorsa o nel modo specificato dalle opzioni SETROPTS.
NOFAIL
Specifica che gli errori non sono registrati. I messaggi di mancata autorizzazione non vengono emessi, ma è possibile che vengano scritti record di controllo autorizzazione completati correttamente.
NONE
Specifica che non vengono registrati né gli esiti positivi né quelli negativi.

Un solo record di autorizzazione non riuscita viene scritto per un controllo autorizzazione J2EE anche se vengono effettuate diverse chiamate di autorizzazione SAF. Per ulteriori informazioni sulle opzioni LOG per SAF RACROUTE AUTH e RACROUTE FASTAUTH, consultare la documentazione sul prodotto basata su RACF o quella equivalente basata su SAF.

Prefisso profilo SAF

Specifica un prefisso che verrà aggiunto a tutti i profili SAF EJBROLE usati per i ruoli Java EE. Questo prefisso è anche utilizzato come nome profilo APPL ed è inserito nel nome profilo usato per i controlli CBIND. Non è presente alcun valore predefinito per il campo del prefisso di profilo SAF. Se un prefisso non è specificato in modo esplicito, non viene aggiunto alcun prefisso ai profili SAF EJBROLE, il valore predefinito di CBS390 verrà usato come nome profilo APPL è non viene inserito niente nel nome profilo per i controlli CBIND.

È possibile utilizzare il profilo APPL per limitare l'accesso a WebSphere Application Server

Se è stato definito un prefisso di profilo SAF, il profilo APPL utilizzato è il prefisso di profilo. In caso contrario, il nome del profilo APPL è CBS390. Tutte le identità z/OS che utilizzano i servizi WebSphere devono disporre dell'autorizzazione READ per il profilo APPL. Sono comprese tutte le identità di WebSphere Application Server, le identità non autenticate di WebSphere Application Server, le identità di gestione di WebSphere Application Server, gli ID utente basati sulle mappature ruolo-utente e tutte le identità utente per gli utenti di sistema. Se la classe APPL non è atytiva nel sistema z/OS, questa proprietà non ha effetto indipendentemente dal suo valore.

Nota: Il prefisso del profilo SAF corrisponde alla proprietà, com.ibm.security.SAF.profilePrefix.name, nel file security.xml.



I collegamenti contrassegnati (online) richiedono un accesso a Internet.

Concetti correlati
Attività correlate
Riferimenti correlati


Nome file: usec_safpropszos.html