Configuración de la seguridad para z/OS Connect
Los usuarios autenticados que también han sido autorizados bajo el rol zosConnectAccess, pueden acceder a la aplicación de z/OS Connect. Puede configurar la autorización de grupos a nivel de definición de servicio. Se da soporte a la autorización de grupos para los tipos de grupos SAF y LDAP.
Acerca de esta tarea
Los usuarios deben estar autenticados antes de acceder a la aplicación de z/OS Connect.
El mecanismo de autenticación predeterminado que necesita z/OS Connect es CLIENT_CERT. Los usuarios deben estar autorizados bajo el rol zosConnectAccess para poder acceder a la aplicación de z/OS Connect. El mecanismo de transporte necesario es HTTPS.
Puede configurar que z/OS Connect se ejecute sin restricciones de seguridad estableciendo las definiciones de atributos requireSecure y requireAuth. Estos atributos se definen bajo el elemento zosConnectManager, que se aplica a todos los servicios configurados o está definido bajo el elemento zosConnectService para un servicio específico. Si los atributos se definen en el elemento zosConnectService y globalmente en el elemento zosConnectManager, se utiliza el valor definido en zosConnectService. Consulte zosConnectManager y zosConnectService si desea más información sobre estos atributos.
Para proporcionar un mayor nivel de seguridad, z/OS Connect ofrece la posibilidad de restringir el acceso en base a la autorización del grupo que se puede configurar a través de SAF o LDAP. Para ello, z/OS Connect define tres niveles de autorización:
- Administrador - IUsers con autorización de administrador disponen de autorización para consultar servicios, llevar a cabo tareas operativas en ellos e invocarlos.
- Operaciones - Los usuarios con autorización de operaciones pueden llevar a cabo tareas en servicios como, por ejemplo, detener, iniciar, etc. pero no disponen de autorización para invocar servicios.
- Invocar - Los usuarios con autorización para invocar pueden invocar servicios pero no tienen ningún otro tipo de autorización.
z/OS Connect suministra un interceptor de autorización que implementa la SPI com.ibm.wsspi.zos.connect.Interceptor(). Este interceptor da soporte tanto a SAF como a LDAP. Este interceptor utiliza la API de seguridad getGroupsforUser() para determinar a nivel interno en qué grupos está el usuario y, a continuación, compara estos grupos con los grupos proporcionados en la definición de servicio o en la definición global.
Cuando se habilita el interceptor de autorización suministrado de z/OS Connect, los nombres de grupo RACF o LDAP asociados a los usuarios también se pueden asociar a cualquiera de los grupos que se mencionaban anteriormente en los niveles de definición de servicio o global. En el nivel global, se pueden definir bajo el elemento de configuración <zosConnectManager>. Los atributos que se definen a este nivel incluyen: globalAdminGroup, globalOperationsGroup y globalInvokeGroup. Si se configuran, se aplican a todos los servicios configurados. Si se desea más granularidad, los grupos también se pueden configurar en el nivel de servicio bajo el elemento de configuración <zosConnectService> . Los atributos que se definen a ese nivel son: adminGroup, operationsGroup e invokeGroup. Estos valores, si se especifican, alteran temporalmente los valores que se han definido a nivel global.
- El usuario pasa la comprobación de autorización
- Ninguna otra condición impide que se devuelva información de servicio
Por ejemplo, dad la configuración siguiente con el interceptor de autorizaciones definido a nivel de servicio:
Grupos de usuario "USR1": ADMINS1, ADMINS2
Grupos de usuario "USR2": OPERATS1
Grupos de usuario "USR3": ADMINS2, OPERATS1
<!-- Configuración global de z/OS Connect. Se aplica a todos los servicios. -->
<zosConnectManager globalAdminGroup="ADMINS1" globalOperationsGroup="OPERATS1" globalInvokeGroup="INVOKES1"/>
<!-- Configuración de interceptor -->
<zosConnectInterceptors id="interceptorList1" interceptorRef="zosConnectAuthorizationInterceptor"/>
<authorizationInterceptor id="zosConnectAuthorizationInterceptor"/>
<!--Servicio 1-->
<zosConnectService serviceName="service1" serviceRef="service1Ref" adminGroup="ADMINS2" operationsGroup="OPERATS2" interceptorsRef="interceptorList1" .../>
<!--Servicio 2-->
<zosConnectService serviceName="service2"
serviceRef="service2Ref" operationsGroup="OPERATS2" interceptorsRef="interceptorList1" .../>
<!--Servicio 3-->
<zosConnectService serviceName="service3" serviceRef="service3Ref" adminGroup="ADMINS1" interceptorsRef="interceptorList1" .../>
service1 | service2 | service3 | |
---|---|---|---|
USR1 | X | X | X |
USR2 | -- | -- | X |
USR3 | X | -- | X |