Configuración de la autenticación RunAs en Liberty

Puede delegar la autenticación a otra identidad configurando la especificación RunAs para Liberty.

Acerca de esta tarea

Al correlacionar una identidad de usuario especificada y la contraseña opcional con un rol RunAs, puede delegar el proceso de autenticación a un usuario que tiene el rol RunAs.

Debe habilitar las características de Liberty appSecurity-2.0 y servlet-3.0 y tener un registro de usuarios para su aplicación para poder configurar el rol RunAs.

Para obtener más información sobre el caso de autenticación RunAs, consulte Autenticación RunAs().

Para configurar la autenticación RunAs, complete estos pasos:

Procedimiento

  1. Habilite las características Liberty appSecurity-2.0 y servlet-3.0 en el archivo server.xml.
  2. Configure un registro de usuarios para su aplicación
  3. Especifique el elemento <run-as> en el descriptor de despliegue de la aplicación.

    En el ejemplo siguiente de un archivo web.xml se especifican las llamadas posteriores delegadas al usuario correlacionado con el rol de Employee:

         <servlet id="Servlet_1">
              <servlet-name>RunAsServlet</servlet-name>
              <display-name>RunAsServlet</display-name>
              <description>RunAsServlet</description>
              <servlet-class>web.RunAsServlet</servlet-class> 
              <run-as>
                   <role-name>Employee</role-name> 
              </run-as>
          </servlet>    
  4. Configure la autenticación RunAs mediante perfiles de recursos SAF, lo que es específico para los usuarios de z/OS.
    1. Habilite la delegación de RunAs mediante SAF.
      <safAuthorization enableDelegation="true" />
    2. Asigne la identidad de usuario RunAs al rol y recurso de aplicación. Para ello establezca la identidad de usuario RunAs en el campo APPLDATA del perfil de recurso SAF correspondiente. De forma predeterminada, el perfil de recurso SAF correspondiente para una aplicación y rol determinados se denomina {profilePrefix}.{appName}.{roleName} en la clase SAF EJBROLE.

      Este es el mismo perfil de recurso que utiliza la autorización SAF de Liberty para autorizar usuarios en la aplicación y el rol. El nombre del perfil lo rige la configuración safRoleMapper. Para obtener más información sobre cómo correlacionar los nombres de rol y aplicación con los nombres de perfil SAF, consulte Controlar cómo se correlacionan los roles con los perfiles SAF.

      A continuación se muestran algunos mandatos RACF de ejemplo para asignar user5 como usuario RunAs para la aplicación myapp y el rol de Employee:
      RDEFINE EJBROLE BBGZDFLT.myapp.Employee UACC(READ)
      RALTER EJBROLE BBGZDFLT.myapp.Employee APPLDATA('user5')
      SETROPTS GENERIC(EJBROLE) REFRESH
      SETROPTS RACLIST(EJBROLE) REFRESH

Icono que indica el tipo de tema Tema de tarea

Nombre de archivo: twlp_sec_runas.html