![[z/OS]](../images/ngzos.gif)
Correlacione el principal de un registro con un ID de usuario SAF utilizando un módulo de inicio de sesión JAAS (Java Authentication and Authorization Services)
Puede utilizar un módulo de inicio de sesión JAAS (Java™ Authentication and Authorization Services) para correlacionar un principal de registro con un ID de usuario de SAF (System Authorization Facility).
- Un módulo de inicio de sesión conectable puede establecer atributos bien definidos de z/OS en la correlación compartida durante el inicio de sesión.
- WebSphere Application Server proporciona el módulo de correlación de ejemplo com.ibm.websphere.security.SampleSAFMappingModule. Este módulo establece los atributos de z/OS definidos en el estado compartido. Este módulo debe preceder la entrada del módulo de correlación com.ibm.ws.security.common.auth.module.MapPlatformSubject en la lista de módulos de inicio de sesión.
El siguiente conjunto de atributos bien definidos que se utilizan en la correlación de WebSphere Application Server se definen en la clase com.ibm.wsspi.security.token.AttributeNameConstants disponible en el archivo sas.jar:
com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_USERID
Utilice este atributo para establecer el valor del ID de usuario de MVS utilizado cuando se realiza una operación que exige un ID de usuario de SAF de z/OS. Si no se especifica ningún valor, WebSphere Application Server utiliza el usuario autenticado para establecer un ID de usuario de SAF. Este ID de usuario de SAF debe ser un ID de usuario de MVS válido.
com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_AUDIT_STRING
Utilice este atributo para indicar que la serie especificada se coloca en la propiedad X500Name al crear un elemento de entorno de control de acceso (ACEE) de RACF (Resource Access Control Facility).
- Comprobación de autorización de EJBROLE
- Cualquier comprobación de acceso de una aplicación que se ejecuta con la identidad del sistema y se sincroniza con la identidad J2EE (Java 2, Enterprise Edition). Para obtener más información, consulte Identidad de hebra Java y una identidad de hebra de sistema operativo.
com.ibm.wsspi.security.token.AttributeName.Constants.CALLER_PRINCIPAL_CLASS
Utilice este campo opcional para indicar la clase de principal (en un sujeto JAAS) que se devuelve al utilizar las API getCallerPrincipal y getUserPrincipal.
- Tiempo de ejecución de WebSphere Application Server
- Módulo de inicio de sesión JAAS
El valor predeterminado de este campo es com.ibm.websphere.security.auth.WSPrincipal. La utilización de este valor predeterminado devuelve el nombre de principal de WebSphere Application Server en el registro configurado de WebSphere Application Server.
Para devolver un principal de SAF correlacionado, especifique com.ibm.ws.security.zos.Principal. Si se especifica un valor pero ningún principal coincide con el valor CALLER_PRINCIPAL_CLASS especificado, el valor de retorno indica un usuario no autenticado. La especificación de getUserInRole devuelve un valor nulo y la especificación de getCallerPrincipal() devuelve una serie que indica que el usuario no está autenticado.
- Identidad de servidor
- Esta identidad se correlaciona siempre con el ID de usuario del proceso y se asigna con el perfil STARTED.
- Identidad SAF correspondiente al usuario UNAUTHENTICATED
- La identidad SAF correspondiente al usuario UNAUTHENTICATED significa que no hay ninguna identidad de red. Este valor se configura utilizando la Herramienta de gestión de perfiles de WebSphere z/OS o el mandato zpmt y se puede modificar utilizando la consola administrativa. Se recomienda crear la identidad SAF de usuarios no autenticados con el atributo RESTRICTED.