WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

役割ベースの許可の System Authorization Facility

EJBROLE: WebSphere Application Server 許可の代替として、 Security Authorization Facility (SAF) ベースの許可 (例えば、RACF EJBROLE プロファイルの使用) を使用して、 EJB および Web アプリケーション (WebSphere Application Server 管理コンソール・アプリケーションを含む) における Java 2 Platform, Enterprise Edition (J2EE) 役割へのクライアントによるアクセスを制御できます。

SAF 許可が使用可能な場合は、SAF EJBROLE プロファイルを使用して J2EE 役割を許可します。 非ローカル・オペレーティング・システムのレジストリーの場合は、 WebSphere Application Server ID を SAF ID にマップするために、ID マッピングが用意されている必 要があり ます。

SAF 許可を使用可能にするには、z/OS System Authorization Facility 許可 で詳細を参照してください。

EJBROLES の定義はアプリケーション・デプロイメント・プロセスの一部です。 アプリケーションによって定義済みの J2EE 役割に対応する、定義済み EJBROLE プロファイル に対して、ユーザー ID が少なくとも READ アクセス権を持つ場合、そのユーザー ID は役割に割り当てられている と見なされます。 (EJBROLE という名前で混乱しないようにしてください。 この名前は、エンタープライズ Bean および Web アプリケーションの両方で、 J2EE 役割に使用されます。)

アプリケーション・デプロイヤーがコンポーネントのデプロイメント記述子で役割を使用する場合、 その役割名は EJBROLE プロファイルの名前と同一でなければなりません。セキュリティー管理者は 、EJBROLE プロファイルを定義し、プロファイルに対して SAF ユーザーまたはグループを 許可します。役割に対して適格であると見なされるには、ユーザーは EJBROLE プロファイルへの読み取りアクセス権を持つか、または 読み取りアクセス権を持つ SAF グループに関連付けられていなければなりません。

SAF 許可が選択されている場合、セキュリティー・ドメイン接頭部の仕様 により、WebSphere Application Server for z/OS のシステム・リソースが使用する 特定の EJBROLE プロファイルが影響を受けます。SecurityDomainType = cellQualified の場合、 セキュリティー・ドメインのプレフィックスも指定されていれば、WebSphere Application Server for z/OS ランタイム の J2EE アプリケーションの EJBROLE プロファイルが実行されます。 これにより、 同じシスプレックスの別のセル上に、同じアプリケーションをデプロイすることができますが、 必要に応じて、役割マッピングに異なるユーザーを持つことができます。

例えば、アプリケーションに 2 つの J2EE 役割 名 (juniorTellers および seniorTellers) があるとします。 これらは大/小文字混合の役割です。SAF レジストリーに、JTELLERSTELLER と呼ばれる MVS グループ、 および BANKADM と呼ばれる MVS ユーザー ID があります。 JTELLER グループは juniorTellers 役割にアクセスするために必要で、 STELLER グループは seniorTellers 役割にアクセスするために必要です。 BANKADM ユーザー ID は、 両方の役割にアクセスするために必要です。

2 つのセルがある場合、両方のセルをセキュリティー・ドメイン・プレフィックスを使用するよう定義します。 セキュリティー・ドメイン・ネームは、それぞれ PRODCELL および TESTCELL です。 TEST1 ユーザー ID は両方の役割にアクセスできますが、 テスト環境 TESTCELL 内でのみ可能です。

両方のセルに同じアプリケーションをデプロイする場合、 以下のように、RACF (または同等のセキュリティー・サブシステム) を使用して、 別個のプロファイルを定義しなければなりません。

RACF がセキュリティー・サーバーとして使用されている場合、 以下のコマンドを発行してこれを使用可能にします。
/* the EJBROLE class must be active, this step is done by the customization dialogs  */
SETROPTS CLASSACT(EJBROLE)

/* first define the roles in RACF */
RDEFINE EJBROLE PRODCELL.juniorTellers UACC(NONE)
RDEFINE EJBROLE PRODCELL.seniorTellers UACC(NONE)

RDEFINE EJBROLE TESTCELL.juniorTellers UACC(NONE)
RDEFINE EJBROLE TESTCELL.seniorTellers UACC(NONE)

/* permit the appropriate users and groups to the various roles */
PERMIT PRODCELL.juniorTellers CLASS(EJBROLE)  ID(JTELLER BANKADM) ACCESS(READ)
PERMIT PRODCELL.seniorTellers CLASS(EJBROLE)  ID(STELLER BANKADM) ACCESS(READ)

PERMIT TESTCELL.juniorTellers CLASS(EJBROLE)  ID(TEST1) ACCESS(READ)
PERMIT TESTCELL.seniorTellers CLASS(EJBROLE)  ID(TEST1) ACCESS(READ)

/* refresh the EJBROLE class in RACF *
SETROPTS RACLIST(EJBROLE) REFRESH"     

EJBROLES のグループ化 (GEJBROLE)

SAF インターフェースは、EJBROLE クラスのグループ化クラスもサポートします。 このグループ化クラスは、GEJBROLE と呼ばれます。同じユーザーまたはグループにいくつかの役割へのアクセス権を与える必要がある 場合には、これは特に役立ちます。

GEJBROLE グループ化クラスは、他の J2EE サーバーでは もともと使用可能ではない機能を提供します。J2EE セキュリティー・モデルを使用し、 類似機能 (管理機能の Hire、Promote、GrantPayraise など) に対して、 異なる役割名を使用するいくつかのコンポーネントまたはアプリケーションがいくつかある場合は、 以下のいくつかのオプションがあります。

以下のリストは、GEJBROLE (ADDMEM) 内の GEJBROLE、EJBROLE、および EJBROLE 間のリレーションシップについて説明 しています。

ヒント: GEJBROLES のインプリメントには、次のものが含まれます。



サブトピック
System Authorization Facility のユーザー・レジストリー
ネーミング役割へのアクセスの制御に SAF 許可を使用する場合の特殊な考慮事項
関連概念
許可テクノロジー
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/csec_ejbroleandg.html