![[z/OS]](../images/ngzos.gif)
z/OS-SAF-Berechtigung
Verwenden Sie diese Seite, um System Authorization Facility (SAF) und die Eigenschaften für die SAF-Berechtigung zu konfigurieren.
- Klicken Sie auf .
- Wählen Sie in der Dropdown-Liste unter "Berechtigungsprovider" den Eintrag System Authorization Facility (SAF) aus.
- Klicken Sie auf die Schaltfläche Konfigurieren.
- Wenn als Authentifizierungsverfahren LTPA (Lightweight Third Party Authentication) verwendet wird, sollten Sie die folgenden Konfigurationseinträge aktualisieren, so dass diese eine Zuordnung zu einem gültigen z/OS-Principal (wie WEB_INBOUND, RMI_INBOUND und DEFAULT) enthalten.
- Wenn als Authentifizierungsverfahren SWAM (Simple WebSphere Authentication Mechanism) verwendet wird, müssen Sie in der
SWAM-Konfiguration eine Zuordnung zu einem gültigen z/OS-Principal angeben. Anmerkung: SWAM ist veraltet und wird in einem der künftigen Releases entfernt.
Die allgemeinen Eigenschaften für nicht authentifizierte Benutzer, SAF-Autorisierung und die Nachrichtenunterdrückung für SAF EJBROLE sind keine angepassten Eigenschaften mehr.
Wenn Sie diese Option auswählen, verwendet WebSphere Application Server die Berechtigungsrichtlinie, die im z/OS-Sicherheitsprodukt für Berechtigung gespeichert ist.
Nicht authentifizierte Benutzer-ID
Gibt die MVS-Benutzer-ID an, die ungeschützte Servletanforderungen repräsentiert, wenn die SAF-Berechtigung angegeben ist oder eine LocalOS-Registry konfiguriert wird. Diese Benutzer-ID kann maximal 8 Zeichen lang sein.
- Für die Autorisierung, wenn ein ungeschütztes Servlet eine Entity-Bean aufruft.
- Für die Identifizierung eines ungeschützten Servlets zum Aufrufen eines z/OS-Connector wie Customer Information Control System (CICS) oder Information Management System (IMS), der eine aktuelle ID verwendet, wenn res-auth=container gilt.
- Wenn eine Anwendung versucht, eine SynchToOSThread-Funktion einzuleiten.
- ""SynchToOSThread zulässig" für Anwendungen"
- "Wann die Option "SynchToOSThread zulässig" verwendet werden sollte"
Mapper für SAF-Profile
Gibt den Namen des SAF-EJBRole-Profils an, dem ein J2EE-Rollenname zugeordnet wird. Der Name, den Sie angeben, implementiert die Schnittstelle "com.ibm.websphere.security.SAFRoleMapper".
Anfänglich wird die Implementierungsklasse "com.ibm.ws.security.zOS.authz.SAFRoleMapperImpl", die Standardimplementierung für den SAF-Rollen-Mapper, konfiguriert. Bei dieser Erstkonfiguration werden alle Zeichen, die in einem SAF-Rollennamen nicht zulässig sind, wie z. B. das Prozentzeichen (%), das Et-Zeichen (&), der Stern (*) und Leerzeichen, einem Rautenzeichen (#) zugeordnet.
Weitere Informationen hierzu finden Sie im Artikel Angepassten Mapper für SAF-EJB-Rollen entwickeln.
SAF-Delegierung aktivieren
Diese Eigenschaft gibt an, dass SAF-EJBROLE-Definitionen festlegen, welche MVS-Benutzer-ID zur aktiven Identität wird, wenn Sie die angegebene RunAs-Rolle auswählen.
Wählen Sie die Option SAF-Delegierung aktivieren nur aus, wenn Sie die Option SAF-Berechtigung aktivieren als externen Berechtigungsprovider auswählen.
APPL-Profil verwenden, um den Zugriff auf den Anwendungsserver einzuschränken
Verwenden Sie das APPL-Profil, um den Zugriff auf WebSphere Application Server einzuschränken.
Wenn Sie ein SAF-Profilpräfix definiert haben, ist das verwendete APPL-Profil das Profilpräfix. Andernfalls lautet der APPL-Profilname CBS390. Alle z/OS-Identitäten, die WebSphere-Services verwenden, müssen Leseberechtigung für das APPL-Profil haben. Zu diesen IDs gehören alle IDs von WebSphere Application Server, alle nicht authentifizierten IDs von WebSphere Application Server, alle Administrations-IDs von WebSphere Application Server, alle auf Zuordnungen von Rollen zu Benutzern basierenden Benutzer-IDs und alle Benutzer-IDs von Systembenutzern. Wenn die APPL-Klasse auf dem z/OS-System nicht aktiv ist, hat diese Eigenschaft, unabhängig vom Wert, keine Wirkung.
Information | Wert |
---|---|
Standardeinstellung | Aktiviert |
Berechtigungsfehlernachrichten vom z/OS-Sicherheitsprodukt unterdrücken
Gibt an, ob ICH408I-Nachrichten aktiviert oder inaktiviert sind. Diese Eigenschaft ist standardmäßig nicht ausgewählt, so dass Nachrichten nicht unterdrückt werden.
- Deklarative Überprüfungen sind als Sicherheitseinschränkungen in Webanwendungen und Implementierungsdeskriptoren als Sicherheitseinschränkungen in EJB-Dateien (Enterprise JavaBeans) codiert.
- Programmlogikprüfungen oder Zugriffsprüfungen werden mit der Methode isCallerinRole(x) für Enterprise-Beans oder der Methode "isUserInRole(x)" für Webanwendungen durchgeführt.

- Wenn Sie nicht möchten, dass Nachrichten für Verwaltungsrollen unterdrückt werden, wenn die SMF-Prüfsatzstrategie auf Default eingestellt ist, setzen Sie die Eigenschaft "com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin" auf false. Der für diese Eigenschaft angegebene Wert überschreibt jede andere Einstellung, die die Nachrichtenunterdrückung für Verwaltungsrollen steuert.
- Wenn fremde Berechtigungsprovider verwendet werden, z. B. Tivoli Access Manager oder Service Access Facility (SAF) für z/OS, spiegeln die Informationen in der Administrationskonsole möglicherweise nicht die Daten im Provider wider. Möglicherweise werden auch Änderungen in dieser Anzeige nicht automatisch im Provider wiedergegeben. Informieren Sie den Provider gemäß seinen Anweisungen über die Änderungen in dieser Anzeige.
Weitere Informationen zur SAF-Berechtigung finden Sie im Artikel "Zugriff auf die Konsole bei der Verwendung einer LocalOS-Registry steuern" im Information Center. Nähere Informationen zu Verwaltungsrollen finden Sie im Artikel "Verwaltungsrollen" im Information Center.
Information | Wert |
---|---|
Standardeinstellung | Inaktiviert, d. h., Nachrichten werden nicht unterdrückt. |
Strategie für SMF-Prüfsätze
Bestimmt, wann ein Prüfsatz in System Management Facility (SMF) geschrieben wird. Bei jedem Berechtigungsaufruf kann RACF oder ein entsprechendes SAF-basiertes Produkt einen Prüfsatz mit dem Ergebnis der Berechtigungsprüfung in SMF schreiben.
WebSphere Application Server for z/OS verwendet die Operationen SAF RACROUTE AUTH und RACROUTE FASTAUTH und übergibt die Option LOG, die in der Sicherheitskonfiguration angegeben ist. Die Optionen sind DEFAULT, ASIS, NOFAIL und NONE.
- DEFAULT
Wenn mehrere Rollenvorgaben angegeben sind, z. B. der Benutzer muss einer von mehreren Rollen zugeordnet sein, werden alle Rollen mit Ausnahme der letzten markiert, wenn die Option NOFAIL angegeben ist. Wenn die Berechtigung in einer der Rollen vor der letzten erteilt wurde, schreibt WebSphere Application Server einen Erfolgsdatensatz zur Berechtigung. Falls die Berechtigung für keine dieser Rollen erfolgreich verläuft, wird die letzte Rolle mit der Protokolloption ASIS markiert. Wenn der Benutzer die Berechtigung für die letzte Rolle besitzt, wird unter Umständen ein Erfolgsdatensatz geschrieben. Wenn der Benutzer nicht berechtigt ist, kann ein Fehlerdatensatz geschrieben werden.
- ASIS
- Gibt an, dass die Prüfereignisse so aufgezeichnet werden, wie es in dem Profil, das die Ressource schützt, oder wie es mit den SETROPTS-Optionen angegeben ist.
- NOFAIL
- Gibt an, dass keine Fehler aufgezeichnet werden. Es werden keine Nachrichten zu Berechtigungsfehlern ausgegeben, aber Erfolgsdatensätze können geschrieben werden.
- NONE
- Gibt an, dass weder erfolgreiche noch fehlgeschlagene Berechtigungen aufgezeichnet werden.
Es wird nur ein Fehlerdatensatz für eine fehlgeschlagene Java EE-Berechtigungsprüfung geschrieben, wenn mehrere SAF-Berechtigungsaufrufe abgesetzt werden. Weitere Informationen zu den LOG-Optionen für SAF-RACROUTE-Aufrufe finden Sie in der Dokumentation zu RACF oder einem entsprechenden SAF-basierten Produkt. Weitere Informationen zur Überprüfbarkeit von Aufrufen über SMF, die während der Verarbeitung der Ressourcenberechtigung von WebSphere Application Server an RACROUTE-Makros und SAF-APIs gerichtet sind, finden Sie im Artikel zur Prüfungsunterstützung.
Präfix für SAF-Profile
Gibt ein Präfix an, das allen SAF-EJBROLE-Profilen hinzugefügt werden soll, die für Java EE-Rollen verwendet werden. Außerdem wird dieses Präfix als APPL-Profilname verwendet und in den Profilnamen eingefügt, der für CBIND-Prüfungen verwendet wird. Es gibt keinen Standardwert für das Feld "Präfix für SAF-Profile". Wenn kein Präfix explizit angegeben wird, wird den SAF-EJBROLE-Profilen kein hinzufügt. Stattdessen wird der Standardwert CBS390 als APPL-Profilname verwendet, und dem Profilnamen wird keine Angabe für CBIND-Prüfungen hinzugefügt.
Sie können das APPL-Profil verwenden, um den Zugriff auf WebSphere Application Server einzuschränken.
Wenn Sie ein SAF-Profilpräfix definiert haben, ist das verwendete APPL-Profil das Profilpräfix. Andernfalls lautet der APPL-Profilname CBS390. Alle z/OS-Identitäten, die WebSphere-Services verwenden, müssen Leseberechtigung für das APPL-Profil haben. Zu diesen IDs gehören alle IDs von WebSphere Application Server, alle nicht authentifizierten IDs von WebSphere Application Server, alle Administrations-IDs von WebSphere Application Server, alle auf Zuordnungen von Rollen zu Benutzern basierenden Benutzer-IDs und alle Benutzer-IDs von Systembenutzern. Wenn die APPL-Klasse auf dem z/OS-System nicht aktiv ist, hat diese Eigenschaft, unabhängig vom Wert, keine Wirkung.