[z/OS]

Angepassten Mapper für SAF-EJB-Rollen entwickeln

WebSphere Application Server for z/OS ermöglicht die Zuordnung von Java EE-Rollennamen (Java Platform, Enterprise Edition) zu SAF-EJBRole-Profilnamen in einer Installation.

Vorbereitende Schritte

WebSphere Application Server for z/OS unterstützt die Verwendung angepasster Mapper für SAF-EJB-Rollen. Mit dem angepassten Mapper für SAF-EJB-Rollen können in einer Installation J2EE-Rollennamen EJBRole-Profilnamen zugeordnet werden. Wenn Sie den Mapper für SAF-EJB-Rollen nicht verwenden, müssen Sie eine Anwendung mit einer Rolle im Implementierungsdeskriptor einer Komponente implementieren, der mit dem Namen eines EJBROLE-Klassenprofils identisch ist. Der Sicherheitsadministrator definiert EJBROLE-Profile und erteilt SAF-Benutzern oder -Gruppen die Berechtigung für diese Profile.

Die Verwendung von SAF-EJBROLE-Klassenprofilen können mit Standardnamenskonventionen für Java EE-Rollen in Konflikt stehen. Java EE-Rollennamen sind Unicode-Zeichenfolgen beliebiger Länge. RACF-Klassenprofile sind auf 240 Zeichen beschränkt und können nicht definiert werden, wenn diese Profile Leerzeichen oder Zeichen einer erweiterten Codepage enthalten.

Wenn ein Java EE-Rollenname für eine Installation mit diesen RACF-Einschränkungen in Konflikt steht, kann eine Installation den Mapper für SAF-EJB-Rollen verwenden, um den gewünschten Java EE-Rollennamen einem geeigneten Klassenprofilnamen zuzuordnen.

Der angepasste Mapper für SAF-Rollen ist ein Java-basierter Exit, der den Konstruktionsalgorithmus für EJBROLE-Klassenprofile ersetzt. Der angepasste Mapper für SAF-Rollen wird aufgerufen, um ein Profil für Berechtigungs- und Delegierungsanforderungen zu generieren. Der Rollen-Mapper übergibt den Namen der Anwendung und den Namen der Rolle und gibt dann den entsprechenden Klassenprofilnamen zurück. Informationen zum Servernamen, Zellennamen und zum SAF-Profilpräfix (der bisher als z/OS-Sicherheitsdomäne bezeichnet wurde) werden der Implementierung während der Initialisierung bereitgestellt.

Sie können die angepasste Eigenschaft "com.ibm.websphere.security.SAF.RoleMapper" in der Anzeige für die z/OS-SAF-Berechtigung in der Administrationskonsole setzen. Sie können den Rollen-Mapper auch aktivieren, indem Sie die angepasste Eigenschaft "com.ibm.websphere.security.SAF.RoleMapper" auf den Namen der Klasse setzen, an die die Steuerung übergeben werden soll.

Vorgehensweise

  1. Erstellen Sie Ihren Mapper für SAF-Rollen. Das folgende SAFRoleMapper-Beispiel kann als Referenz verwendet werden:
    public class SAFRoleMapperImpl1 {
    		String domainPrefix = null;
    
    		public void initialize(Properties context) {
    				domainPrefix = context.get(SAFRoleMapper.DOMAIN_NAME);
    	}
    
    		public String getProfileNameFromRole(String app, String role) {
    		String profile = app + “.” + role;
    				if (domainPrefix != null) {
    			profile = domainPrefix + “.” + profile;
    		}
    				profile = profile.replaceAll(“\\%”, “#”);
    				profile = profile.replaceAll(“\\&”, “#”);
    				profile = profile.replaceAll(“\\*”, “#”);
    				profile = profile.replaceAll(“\\s”,“#”);
    
    				return profile;
    	}
    }
  2. Klicken Sie auf Sicherheit > Globale Sicherheit > z/OS-SAF-Berechtigung und aktivieren Sie den Rollen-Mapper, indem Sie im Feld Mapper für SAF-Profile den Namen der Klasse angeben, der Sie die Steuerung übertragen möchten. Sie können diese Eigenschaft auch als angepasste Eigenschaft definieren, indem Sie com.ibm.websphere.security.SAF.RoleMapper als Namen und den Namen der Klasse im Feld "Wert" angeben.
  3. Klicken Sie auf Sicherheit > Globale Sicherheit > Externe Berechtigungsprovider und wählen Sie die Option SAF-Berechtigung aus, um SAF als Berechtigungsprovider zu aktivieren. Nach der Auswahl dieser Option klicken Sie unter "Zugehörige Elemente" auf z/OS-SAF-Berechtigung, um die SAF-Berechtigungsoptionen zu konfigurieren.

    Sie können diese Eigenschaft auch als angepasste Eigenschaft definieren, indem Sie com.ibm.websphere.security.SAF.authorization als Namen und true als Wert eingeben.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_safrolemap
Dateiname:tsec_safrolemap.html