![[z/OS]](../images/ngzos.gif)
Consideraciones de seguridad utilizando adaptadores locales optimizados con IMS
En este tema se revisan las consideraciones sobre seguridad al utilizar los adaptadores locales optimizados con IMS.
- MPR (MPP)
- Vía de acceso rápida (IFP)
- Proceso de mensajes por lotes (BMP)
- DL/I por lotes
Hay varias formas de asociar la identidad del usuario con la tarea actual IMS y su TCB. Para BMP, el ID de usuario del trabajo es la identidad que requiere acceso a la clase CBIND. Para IFP y MPP, la identidad de usuario en el TCB puede establecerse de otra manera. Si la macro SECURITY para el entorno IMS especifica SECLVL=(TRANAUTH,SIGNON), el ID de usuario que se proporciona en inicio de sesión deberá estar en la base de datos SAF local i la autenticación SAF se producirá. Además, el acceso de transacción se comprueba con SAF.
Si se ejecuta con estas opciones, y se utiliza "Build Security Environment" (Crear entorno de seguridad), la salida DFSBSEX0 devuelve un código de retorno 4 a IMS. A continuación, IMS se asegura de que la TCB bajo la cual se despacha la transacción se sincroniza con el ID de SAF que se ha autenticado.
El ID de usuario del usuario de la aplicación necesita acceso de lectura a la clase CBIND SAF de WebSphere Application Server para que la llamada a la API del registro de adaptadores locales optimizados se lleve a cabo correctamente. Las transacciones IMS que se inician desde los llamadores que utilizan el protocolo de acceso a gestor de transacción abierto (OTMA), utilice el parámetro OTMASE para determinar si el contexto de seguridad de hebra/TCB actual se actualiza. Establecer el parámetro OTMASE en OTMASE=FULL indica que la identidad pasada mediante la llamada de cliente OTMA es la identidad en la hebra de la MPP o IFP. En este caso, el ID de cliente requiere acceso de lectura a la clase CBIND.
Cuando el trabajo de transacción pasa de IMS a WebSphere Application Server para z/OS, el ID de usuario se propaga en el contenedor EJB de WebSphere Application Server y se confirma.
Cuando se utilizan los adaptadores locales optimizados para llamar a transacciones IMS no modificadas existentes a través de OTMA, la identidad del actual cliente de WebSphere Application Server puede propagarse a las transacciones IMS, implementarse y aseverarse en las regiones dependientes del proceso de mensajes (MPR) y de la vía de acceso rápida (IFP). Para ello, asegúrese de que el servidor WebSphere se ha configurado para ejecutarse con la opción de hebra SyncToOS habilitada. Si desea obtener más información sobre la activación de la opción Sincronización con la hebra del sistema operativo, consulte el tema que trata sobre las opciones de seguridad de z/OS. Una vez que la hebra SyncToOS está habilitada, asegúrese de que el parámetro OTMASE para el entorno IMS de destino se establece en F, COMPLETO. Con estas opciones configuradas de esta manera, la identidad del usuario en el entorno de WebSphere Application Server se propaga a un MPP o IFP de IMS y se confirma. Esto no se aplica a las regiones dependientes del proceso de mensajes por lotes (BMP).
