![[z/OS]](../images/ngzos.gif)
Angepassten Mapper für SAF-EJB-Rollen entwickeln
WebSphere Application Server for z/OS ermöglicht die Zuordnung von Java EE-Rollennamen (Java Platform, Enterprise Edition) zu SAF-EJBRole-Profilnamen in einer Installation.
Vorbereitende Schritte
WebSphere Application Server for z/OS unterstützt die Verwendung angepasster Mapper für SAF-EJB-Rollen. Mit dem angepassten Mapper für SAF-EJB-Rollen können in einer Installation J2EE-Rollennamen EJBRole-Profilnamen zugeordnet werden. Wenn Sie den Mapper für SAF-EJB-Rollen nicht verwenden, müssen Sie eine Anwendung mit einer Rolle im Implementierungsdeskriptor einer Komponente implementieren, der mit dem Namen eines EJBROLE-Klassenprofils identisch ist. Der Sicherheitsadministrator definiert EJBROLE-Profile und erteilt SAF-Benutzern oder -Gruppen die Berechtigung für diese Profile.
Die Verwendung von SAF-EJBROLE-Klassenprofilen können mit Standardnamenskonventionen für Java EE-Rollen in Konflikt stehen. Java EE-Rollennamen sind Unicode-Zeichenfolgen beliebiger Länge. RACF-Klassenprofile sind auf 240 Zeichen beschränkt und können nicht definiert werden, wenn diese Profile Leerzeichen oder Zeichen einer erweiterten Codepage enthalten.
Wenn ein Java EE-Rollenname für eine Installation mit diesen RACF-Einschränkungen in Konflikt steht, kann eine Installation den Mapper für SAF-EJB-Rollen verwenden, um den gewünschten Java EE-Rollennamen einem geeigneten Klassenprofilnamen zuzuordnen.
Der angepasste Mapper für SAF-Rollen ist ein Java-basierter Exit, der den Konstruktionsalgorithmus für EJBROLE-Klassenprofile ersetzt. Der angepasste Mapper für SAF-Rollen wird aufgerufen, um ein Profil für Berechtigungs- und Delegierungsanforderungen zu generieren. Der Rollen-Mapper übergibt den Namen der Anwendung und den Namen der Rolle und gibt dann den entsprechenden Klassenprofilnamen zurück. Informationen zum Servernamen, Zellennamen und zum SAF-Profilpräfix (der bisher als z/OS-Sicherheitsdomäne bezeichnet wurde) werden der Implementierung während der Initialisierung bereitgestellt.
Sie können die angepasste Eigenschaft "com.ibm.websphere.security.SAF.RoleMapper" in der Anzeige für die z/OS-SAF-Berechtigung in der Administrationskonsole setzen. Sie können den Rollen-Mapper auch aktivieren, indem Sie die angepasste Eigenschaft "com.ibm.websphere.security.SAF.RoleMapper" auf den Namen der Klasse setzen, an die die Steuerung übergeben werden soll.