[z/OS]

Desarrollo de correlacionadores de roles EJB SAF

WebSphere Application Server para z/OS permite que las instalaciones correlacionen nombres de roles de Java™ EE (Java 2 Platform, Enterprise Edition) con nombres de perfiles EJBROLES de SAF.

Antes de empezar

WebSphere Application Server para z/OS admite la utilización de correlacionadores de roles EJB de SAF. El correlacionador de roles EJB SAF permite que las instalaciones correlacionen nombres de roles J2EE con nombres de perfiles EJBRole SAF. Sin el correlacionador de roles EJB SAF, debe desplegar las aplicaciones utilizando un rol en el descriptor de despliegue de un componente que es idéntico al nombre de un perfil de clase EJBROLE. El administrador de seguridad define perfiles EJBROLE y proporciona el permiso para estos perfiles a usuarios o grupos SAF.

La utilización de perfiles de clase EJBROLE de SAF puede entrar en conflicto con los convenios de denominación de roles de Java EE estándar. Los nombres de roles de Java EE son series Unicode de cualquier longitud. Los perfiles de clase RACF sólo pueden tener 240 caracteres de longitud y no se pueden definir si estos perfiles contienen espacios en blanco o caracteres de página de códigos ampliados.

Si un nombre de rol Java EE de una instalación entra en conflicto con estas restricciones de RACF, la instalación puede utilizar la salida del correlacionador de roles EJB de SAF para correlacionar el nombre de rol Java EE deseado con un nombre de perfil de clase aceptable.

El correlacionador de roles SAF personalizado es una salida Java para sustituir el algoritmo de creación de perfiles de clase EJBROLE. Se llama al correlacionador de roles SAF personalizado para generar perfiles de solicitudes de autorización y delegación. El correlacionador de roles pasa el nombre de la aplicación y el nombre del rol, luego devuelve el nombre de perfil de clase adecuado. Durante la inicialización se proporciona a la implementación información sobre el nombre de servidor, el nombre de célula y el prefijo de perfil SAF (anteriormente denominado dominio de seguridad z/OS).

Puede establecer la propiedad personalizada com.ibm.websphere.security.SAF.RoleMapper en el panel Autorización SAF de z/OS de la consola administrativa. También puede habilitar el correlacionador de roles estableciendo la propiedad personalizada com.ibm.websphere.security.SAF.RoleMapper en el nombre de la clase a la que se va a ceder el control.

Procedimiento

  1. Cree el correlacionador de roles SAF personalizado. Puede utilizarse el siguiente ejemplo de SAFRoleMapper como referencia.
    public class SAFRoleMapperImpl1 {
    		String domainPrefix = null;
    
    		public void initialize(Properties context) {
    				domainPrefix = context.get(SAFRoleMapper.DOMAIN_NAME);
    	}
    
    		public String getProfileNameFromRole(String app, String role) {
    		String profile = app + “.” + role;
    				if (domainPrefix != null) {
    			profile = domainPrefix + “.” + profile;
    		}
    				profile = profile.replaceAll(“\\%”, “#”);
    				profile = profile.replaceAll(“\\&”, “#”);
    				profile = profile.replaceAll(“\\*”, “#”);
    				profile = profile.replaceAll(“\\s”,“#”);
    
    				return profile;
    	}
    }
  2. Pulse Seguridad > Seguridad global > Autorización SAF de z/OS y habilite el correlacionador de roles proporcionando el nombre de la clase a la que desea ceder el control en el campo Correlacionador de perfiles SAF. También puede establecer esta propiedad como una propiedad personalizada especificando com.ibm.websphere.security.SAF.RoleMapper de nombre y proporcionando el nombre de la clase en el campo del valor.
  3. Pulse Seguridad > Seguridad global > Proveedores de autorizaciones externos y seleccione la opción Autorización SAF (System Authorization Facility) para habilitar SAF como el proveedor de autorización. Después de seleccionar esta opción, pulse Autorización SAF de z/OS en Elementos relacionados para configurar las opciones de autorización SAF.

    También puede establecer esta propiedad como una propiedad personalizada especificando com.ibm.websphere.security.SAF.authorization de nombre y true de valor.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_safrolemap
File name: tsec_safrolemap.html