![[z/OS]](../images/ngzos.gif)
Identidad de hebra de conexiones
El servidor de aplicaciones para z/OS permite asignar un identificador de hebras como propietario de una conexión cuando se obtiene por primera vez la conexión. La función de identidad de hebra sólo se aplica a los adaptadores de recursos JCA (Connector Architecture) de Java™ Platform, Enterprise Edition (Java EE) Connector Architecture (JCA) y a los proveedores de JDBC (Java Database Connectivity) envueltos en un adaptador de recursos relacional (RRA) que dan soporte al uso de la identidad de hebra en la propiedad de la conexión.
En este artículo, el término identidad de hebra hace referencia a la identidad Java EE (por ejemplo, la identidad RunAs), por oposición a la identidad de hebra de OS. Para obtener más información, consulte el tema Sincronización de una identidad de hebra Java y una entidad identidad de hebra de sistema operativo y el tema Descripción de la identidad RunAs habilitada del gestor de conexiones y la seguridad del sistema operativo.
En la tabla siguiente se incluyen los procesos del proveedor de JDBC y el adaptador de recursos JCA que dan soporte a la identidad de hebra y la seguridad de hebra. También se proporciona el nivel de soporte de identidad de hebra:
Conectores | Soporte de identidad de hebra | Seguridad de hebra de OS |
---|---|---|
IMS Connector - configuración de ConnectionFactory local | PERMITIDA | No soportado |
IMS Connector - configuración de ConnectionFactory remota | NOPERMITIDA | No soportado |
CTG CICSECIConnector - configuración de ConnectionFactory local | PERMITIDA | No soportado |
CTG CICSECIConnector - configuración de ConnectionFactory remota | NOPERMITIDA | No soportado |
IMS JDBC Connector - configuración de ConnectionFactory local (por omisión, IMS JDBC sólo da soporte a este tipo de configuración). | OBLIGATORIA | True |
Proveedor de JDBC local RRA de DB2 para z/OS - orígenes de datos configurados para la DB2 local | PERMITIDA | True |
Proveedor de controlador JDBC de DB2 Universal RRA utilizando la conectividad de tipo 2 | PERMITIDA | True |
Proveedor de controlador JDBC de DB2 Universal RRA utilizando la conectividad de tipo 4 | NOPERMITIDA | No soportado |
Proveedor de JMS de WebSphere MQ: fábrica de conexiones (TransportType = BINDINGS) | PERMITIDA | True |
Proveedor de JMS de WebSphere MQ: fábrica de conexiones (TransportType = CLIENT) | NOPERMITIDA | No soportado |
Proveedor de JMS de WebSphere (por ejemplo, el proveedor de JMS integral): fábrica de conexiones | NOPERMITIDA | No soportado |
WebSphere Application Server para z/OS permite a los adaptadores de recursos y a los proveedores de JDBC definir el nivel de soporte de identidad de hebra de las fábricas de conexiones o los orígenes de datos definidos. El nivel de soporte puede ser:
- PERMITIDA, que indica que la identidad de hebra de la propiedad de conexión está permitida para esta configuración.
- NOPERMITIDA, que indica que la identidad de hebra de la propiedad de conexión no está permitida para esta configuración.
- OBLIGATORIA, que indica que la identidad de hebra de la propiedad de conexión es obligatoria.
La función de identidad de hebra sólo está disponible en aquellas configuraciones de servidor en las que los conectores JCA y los proveedores de JDBC acceden a los recursos de z/OS locales a través de las interfaces a las que se puede llamar (no TCP/IP). Por ejemplo, CICS y IMS proporcionan soporte de identidad de hebra sólo si el CICS o IMS de destino está configurado en el mismo sistema que z/OS WebSphere Application Server.
Para utilizar la identidad de hebra cuando se obtienen conexiones con una fábrica de conexiones o un origen de datos de JDBC para la aplicación, debe especificar resauth=Container para la fábrica de conexiones o el origen de datos de JDBC. Utilice la herramienta de ensamblaje de Eclipse o WSADIE (WebSphere Studio Application Developer Integration Edition) para indicar el valor resauth=Container.
Cuando el nivel de soporte de identidad de hebra proporcionado por al configuración de conector es PERMITIDA, si desea utilizar la identidad de hebra de las conexiones, no puede especificar un alias gestionado por contenedor cuando se define la fábrica de conexiones o el origen de datos de JDBC. Si especifica un alias gestionado por contenedor, el ID de usuario definido por el alias se asigna como ID de propiedad de las conexiones obtenidas por la aplicación.
Cuando el proveedor de JDBC da soporte a la identidad de hebra, la función de identidad de hebra sólo se utiliza cuando los módulos EJB versión 2.0 y los servlets versión 2.3 utilizan los orígenes de datos configurados para ese proveedor.
WebSphere Application Server para z/OS también permite a los adaptadores de recursos y a los proveedores de JDBC soportados habilitar la seguridad de hebra de OS conjuntamente con el soporte de identidad de hebra. Puede utilizar la seguridad de hebra de OS cuando:
- La configuración del servidor da soporte a la identidad de hebra y la seguridad de hebra.
- La propiedad Identidad RunAs del gestor de conexiones
habilitada está habilitada.
Puede configurar el servidor para que permita el soporte Identidad RunAs del gestor de conexiones habilitada. Para habilitar esta opción, pulse Habilitar la identidad de hebra RunAs del gestor de conexiones y pulse Aplicar.
en la consola administrativa. En el panel de opciones de seguridad z/OS, seleccione la opción - El producto de seguridad de z/OS permite la sincronización de identidades de hebras de gestión de conexión mediante la clase BBO.SYNC FACILITY o BBO.SYNC SURROGATE.
Si se cumplen estas condiciones, el sistema crea un elemento de entorno de control de acceso (ACEE) para el usuario asociado con la hebra.
Los usuarios de las versiones anteriores de WebSphere Application Server para z/OS observarán que se han modificado las instrucciones para habilitar la seguridad de hebra de OS. Anteriormente, la seguridad de hebra de OS se habilitaba mediante un recuadro de selección denominado Habilitar sincronización con la hebra. Este recuadro de selección continúa, pero ya no se asocia con ninguna función de gestión de conexiones. Los usuarios que deseen habilitar la seguridad de hebra de OS deben utilizar ahora el recuadro de selección denominado Identidad RunAs del gestor de conexiones habilitada.