必须保护“企业信息系统”(EIS)(例如,IMS™)中的信息免遭未经授权的访问。J2EE 连接器体系结构(J2C)指定,应用程序服务器和 EIS 必须互相协作,以确保只有经过授权的用户才能访问 EIS。J2C 安全性体系结构将基于 J2EE 的应用程序的端到端安全性模型扩展为包含与 EIS 的集成。
EIS 登录
J2C 安全性体系结构支持特定于 EIS 的用户标识和密码认证机制。有关更多信息,请参阅 WebSphere® Application Server 文档中的 Java™ 2 连接器安全性。
目标 EIS 的用户标识和密码是由应用程序组件(组件管理的登录)或应用程序服务器(容器管理的登录)提供的。
对于 IMS Connector for Java,IMS 是目标 EIS。安全性信息将被传递至 IMS 资源适配器,IMS 资源适配器又将这些信息传递至 IMS Connect。IMS Connect 使用该信息来执行用户认证,并将该信息传递至 IMS OTMA,IMS OTMA 又使用该信息来验证对于访问 IMS 的授权。
在典型环境中,IMS 资源适配器将它接收到的安全性信息(用户标识、密码和可选的组名)通过一条 IMS OTMA 消息传递至 IMS Connect。然后,IMS Connect 将根据它的安全性配置来调用主机的“安全授权工具”(SAF)。
- 使用 TCP/IP 协议的安装在分布式平台或 z/OS® 上的 WebSphere Application Server 要使用组件管理的登录或容器管理的登录:
- 如果在 IMS Connect 配置成员中设置了 RACF=Y,或者已经发出了
IMS Connect 命令 SETRACF ON,则
IMS Connect 将调用 SAF 并使用 IMS Connector for Java 在 OTMA 消息中传递的用户标识和密码来执行认证。如果认证成功,就会把用户标识、组名以及 IMS Connect 调用 SAF 之后所返回的 UTOKEN 一起传递给 IMS OTMA,用来验证对于访问 IMS 的授权。
- 如果在 IMS Connect 配置成员中设置了 RACF=N,或者已经发出了
IMS Connect 命令 SETRACF OFF,IMS Connect 就不会调用 SAF。但是,仍然会把用户标识和组名传递给 IMS OTMA,用来验证对于访问 IMS 的授权。
- 使用“本地选项”协议的安装在 z/OS 上的 WebSphere Application Server 要使用组件管理的登录或容器管理的登录:
- 无论 RACF® 是在 IMS Connect 配置成员中设置的还是在 SETRACF 命令中设置的,IMS Connect 都不会调用
SAF,这是因为 WebSphere Application
Server for z/OS 已经执行了认证。WebSphere Application Server for z/OS 调用 RACF 时所生成的 UTOKEN 会被传递至 IMS,用来验证对于访问 IMS 的授权。
- 可以将 WebSphere Application Server for z/OS 配置为使用与执行的线程相关联的用户标识来认证用户。应用程序服务器将创建一个用来表示用户标识的 UTOKEN 并将它传递给 IMS 资源适配器。然后,IMS 资源适配器将该令牌传递给 IMS Connect,用于登录至 IMS。有关 WAS 中的“运行方式标识”支持的信息,请参阅 WebSphere Application Server for z/OS 的安全性文档。
IMS 执行的授权检查级别由 IMS 命令 /SECURE OTMA 来控制。有关此命令的更多信息,请参阅 IMS OTMA Guide and Reference。
Java2 安全性管理器
IMS 资源适配器与 WebSphere Application Server Java2 安全性管理器协同工作。必须对诸如资源适配器之类的组件授权以执行受保护的任务,例如,执行套接字调用。已授权了 IMS 资源适配器来执行这些任务。应用程序组件不需要执行任何操作。
有关“Java2 安全性管理器”的更多信息,请参阅 WebSphere Application Server 文档中的管理受保护应用程序。