[z/OS]

Hinweise zu SAF für die Betriebssystem- und Anwendungsebenen

Wird die SAF-Berechtigung für die Betriebssystem- und Anwendungsebenen festgelegt, sind einige Punkte zu beachten.

Mit WebSphere Application Server for z/OS können Sie die Berechtigung auf zwei verschiedenen Ebenen durchführen:
  • Ressourcen können auf Betriebssystemebene geschützt werden. Wenn ein Programm auf eine geschützte Ressource zugreift, ruft der Ressourcenmanager SAF auf, damit der Sicherheitsmanager (in der Regel RACF) eine Berechtigungsprüfung durchführt.
  • Ressourcen können auf Anwendungsebene geschützt werden. Wenn eine Java™-EE-Anwendung (Java Platform Enterprise Edition) eine Integritätsbedingung für die Sicherheit hat, verwendet der Container einen SAF-Aufruf, damit der Sicherheitsmanager (RACF) eine Berechtigungsprüfung durchführen kann.

Wenn die SAF-Berechtigung aktiviert ist, wird die Berechtigung auf jeder Stufe vom Sicherheitsmanager des Betriebssystems (RACF oder einem entsprechenden Produkt) durchgeführt. Daher ist es sehr wichtig, dass Benutzer mit einer Benutzer-ID des Sicherheitsmanagers (RACF) authentifiziert werden. Weitere Informationen finden Sie im Artikel Übersicht über die Steuerelemente.

Wenn die SAF-Berechtigung während der Systemanpassung ausgewählt wird, werden EJBROLE-Profile für alle Verwaltungsrollen von den RACF-Jobs definiert, die mit Profile Management Tool for z/OS oder mit dem Befehl zpmt generiert werden. Die SAF-Berechtigung( d. h. die Zuordnung von SAF-Benutzern und -Gruppen zu Rollen mit SAF-EJBROLE-Profilen) kann als Berechtigungsverfahren für alle Benutzerregistrys verwendet werden. Die Auswahl der SAF-Berechtigung in der Administrationskonsole setzt alle anderen Berechtigungsoptionen (z. B. Berechtigung über Tivoli Access Manager) außer Kraft.

Wenn Sie das lokale Betriebssystem nicht auswählen, müssen Sie die verteilte Identität mit einer von zwei Optionen einer SAP-Benutzer-ID zuordnen. Sie können ein Zuordnungsmodul für JAAS-Anmeldung (Java Authentication and Authorization Service) konfigurieren und installieren oder in WebSphere Application Server Version 8.0 das SAF-Feature für die Zuordnung verteilter Identitäten nutzen.

Die SAF-Berechtigung wird auch für andere Registrys als die des lokalen Betriebssystems unterstützt. Wenn Sie SAF aktivieren, wird SAF zum Standardprovider (und führt die Benennungs- und Verwaltungsfunktionen aus). Durch die Aktivierung von SAF wird SAF zum nativen Berechtigungsprovider.

Nähere Informationen finden Sie im Artikel Registry oder Repository auswählen.

Wenn die SAF-Berechtigung aktiviert ist, werden SAF-EJBROLE-Profile verwendet, um Java-EE-Rollen (der Profilname ist der Rollenname für die Anwendung) zu berechtigen. Zusätzlich kann ein SAF-Profilpräfix definiert werden, bei dem es sich um eine Zeichenfolge von acht oder weniger Zeichen handelt, das jedem SAF-EJBROLE-Profilnamen vorangestellt wird. Nähere Informationen finden Sie in den folgenden Artikeln:
Wenn die SAF-Berechtigung aktiviert ist, werden die Einstellungen "Jeder" und "Alle Authentifizierten" ignoriert. Diese Attribute werden in RACF verwaltet. Die Attribute "Jeder" und "Alle Authentifizierten" sind für WebSphere Authorization bestimmt.
Jeder
Wenn die SAF-Berechtigung aktiviert ist, verwendet SAF die Benutzerauthentifizierung, um den Zugriff auf Webanwendungen umzusetzen. Wenn Sie die Einstellung "Jeder" verwenden, kann jeder Benutzer, der in der Registry definiert ist, sich an der Webanwendung anmelden und Subjekte und Principals werden authentifiziert.

WebSphere Application Server for z/OS verwendet die Standardbenutzer-ID (unauthenticated) und einen ACEE, der prüft, ob der Zugriffstyp ACCESS( READ) für das Attribut RESTRICTED definiert ist (die Universal Access Authority (UACC) ist nicht gültig). Wenn SAF die Authentifizierung für ejbroles nicht umsetzt und jeder in der Lage sein soll, auf eine bestimmte Rolle zuzugreifen, müssen Sie der Standardbenutzer-ID (unauthenticated) die Zugriffsberechtigung ACCESS( READ) erteilen, damit Anforderungen ohne Authentifizierung ausgeführt werden können. Wenn Sie dies nicht tun, bewertet RACF nicht authentifizierte Anforderungen als falsch.

Alle Authentifizierten
Sie können jedem Namen in der Benutzerregistry erlauben, sich bei der Webanmeldung anzumelden. (Alle Benutzernamen werden bei der Anmeldung authentifiziert.) Sie müssen UACC(READ) im aufgerufenen Profil definieren und dürfen den RACF-Befehl PERMIT nicht für die Standardbenutzer-ID absetzen.
Anmerkung: Die allgemeine Zugriffsberechtigung gilt nicht für Benutzer, die mit dem Attribut RESTRICTED definiert wurden. Wenn die nicht authentifizierte WebSphere-Identität beispielsweise Lesezugriff (READ) auf eine EJBROLE haben soll, müssen Sie der ID explizit die Berechtigung READ erteilen, unabhängig von der UACC-Einstellung.

Wenn Sie eine Registry des lokalen Betriebssystems verwenden, können Sie den Zugriff auf die Konsolbenutzer steuern.

Sollten Sie die SAF-Autorisierung zu einem späteren Zeitpunkt aktivieren wollen, müssen Sie diese RACF-Befehle absetzen, um ein fehlerfreies Arbeiten von WebSphere Application Server zu gewährleisten. (Ändern Sie den Wert der konfigurierten Standardbenutzer-ID, wenn Sie eine andere nicht authentifizierte Benutzer-ID ausgewählt haben.)


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safauthz
Dateiname:csec_safauthz.html