z/OS 用の Liberty 上でのインバウンド・サポートのための最適化されたローカル・アダプターの保護

Liberty サーバーにインバウンド呼び出しを行う WebSphere® Optimized Local Adapters (WOLA) 接続を保護します。

始める前に

サーバー・セキュリティーが適用された z/OS® 上の Liberty サーバーを実行します。詳しくは、セキュリティーを参照してください。

z/OS 用 Liberty サーバーへのローカル・アクセスは、System Authorization Facility (SAF) CBIND クラスによって保護されます。このクラスは、使用可能な場合、最適化されたローカル・アダプター要求の実行時に Liberty サーバーを保護するために使用されます。登録 API を使用するアプリケーションを実行する前に、ジョブ、UNIX System Services プロセス、または顧客情報管理システム (CICS®) 領域のユーザー ID に、ターゲット・サーバーの CBIND クラスに対する読み取り権限を許可します。

Liberty サーバーへのすべてのインバウンド要求は、スレッドの現行ユーザーの権限で実行されます。この ID は自動的に伝搬され、Enterprise JavaBeans (EJB) コンテナーで表明され、アプリケーションはこの ID の下で開始されます。ターゲット・エンタープライズ Bean に対するインバウンド要求は、ローカル EJB 要求に対するメソッド起動と同じように到達します。また、RunAs のセキュリティー・オプションは、ローカル EJB 要求と同じように動作します。

インバウンドまたはアウトバウンドのトランザクションの処理が CICS と z/OS 用の Liberty 間で渡される場合、いくつかの特殊なセキュリティーに関する考慮事項に注意する必要があります。例えば、Liberty サーバーに送信されたインバウンド処理の認証が、特定の CICS アプリケーションの権限で実行されるか、CICS 領域全体の権限で実行されるかを判別する必要があります。Liberty サーバーがアウトバウンド処理を CICS アプリケーションに送信する場合も、同様のことについて検討します。CICS が送信元のアプリケーションの権限と現在の CICS セキュリティー・プロファイルの権限のどちらを優先するかを判別する必要があります。
重要: CICS が要求を処理するには、クライアント・アプリケーションが認証されるようにする必要があります。

要求を CICS から Liberty サーバーに渡すときに、登録 API 呼び出しでフラグを設定して、現在の CICS アプリケーションの ID を使用することを示すことができます。

手順


トピックのタイプを示すアイコン タスク・トピック

ファイル名: twlp_dat_security_in.html