![[z/OS]](../images/ngzos.gif)
SAF-Delegierung
Wenn Sie mit SAF-Delegierung (System Authorization Facility) arbeiten, müssen Benutzer-IDs und Kennwörter nicht mehr an so vielen Positionen in der Konfiguration gespeichert werden.
WebSphere Application Server unterstützt die Delegierung.
Die Delegierung ermöglicht die Darstellung einer Benutzeridentität als
Java™-EE-Rolle. Sie können beispielsweise
eine Anwendung so konfigurieren, dass sie mit der RunAs-Rolle RolleA ausgeführt wird.
RolleA kann anschließend als BenutzerA zugeordnet werden. WebSphere
Application Server richtet dann den Identitätskontext als BenutzerA ein, und RolleA wird im Implementierungsdeskriptor definiert.
In einer solchen Anordnung verwendet die SAF-Delegierung die angegebene
Java-EE-Rolle, RolleA, um die Threadidentität zu bestimmen, und synchronisiert anschließend
die Verarbeitung mit der Benutzer-ID BenutzerA. BenutzerA wird im
APPLDATA-Wert des RACF-Befehls RDEFINE des SAF-EJBROLE-Profils angegeben. Der Befehl
REDEFINE würde in diesem Beispiel wie folgt lauten:
RDEFINE EJBROLE RolleA UACC(NONE) APPLDATA(BenutzerA)
Für die SAF-Delegierung muss die SAF-Berechtigung aktiviert sein. Der SAF-Sicherheitsadministrator ist für die Zuordnung der Benutzer zur Rolle zuständig. Der Artikel z/OS-SAF-Berechtigung beschreibt die Schritte, mit denen die SAF-Delegierung zugelassen wird.
Anmerkung: Wenn die SAF-Delegierung aktiviert, Kerberos das aktive Authentifizierungsverfahren ist und die Anforderung
die RunAs-Rolle anfordert, enthält das RunAs-Subject-Objekt, das auf dem Server erstellt wird,
nicht den Kerberos-Berechtigungsnachweis.
Deshalb greift die Anforderung auf LTPA zurück.