For z/OS platforms[17.0.0.1 and later]

Autorisation SAF requise lorsque des composants utilisent la structure du gestionnaire REST

Les utilisateurs z/OS de l'interface SAF (System Authorization Facility) avec des composants Liberty reposant sur la structure du gestionnaire REST doivent se voir accorder l'autorisation allAuthenticatedUsers.

L'exemple de commande RACF suivant octroie l'autorisation allAuthenticatedUsers à l'ID wlpuser1 :

RDEF EJBROLE BBGZDFLT.com.ibm.ws.management.security.resource.allAuthenticatedUsers
OWNER(SYS1) UACC(NONE)

PE BBGZDFLT.com.ibm.ws.management.security.resource.allAuthenticatedUsers
CLASS(EJBROLE) ID(wlpuser1) ACCESS(READ)

La commande suivante octroie l'accès à tous les utilisateurs authentifiés :

RDEF EJBROLE BBGZDFLT.com.ibm.ws.management.security.resource.allAuthenticatedUsers
OWNER(SYS1) UACC(READ)

Un utilisateur non authentifié doit être défini avec l'option RESTRICTED, comme décrit dans Configuration de l'utilisateur authentifié SAF (fonction d'autorisation système), pour qu'il ne puisse accéder à aucun rôle disposant d'un accès en lecture, à savoir un accès UACC(READ).

Les composants Liberty affectés le plus directement par cette exigence sont les suivants :

  • Connecteur REST JMX
  • Fonction API Discovery (interface utilisateur Swagger)
  • Centre d'administration
  • Collective API
  • Batch

Icône indiquant le type de rubrique Rubrique de référence

Nom du fichier : rwlp_saf_allauthusers.html