[z/OS]

Autorización SAF (System Authorization Facility) de z/OS

Utilice esta página para configurar SAF (System Authorization Facility) y las propiedades de autorización SAF.

Para habilitar la autorización SAF:
  1. Pulse Seguridad > Seguridad global > Proveedores de autorización externos.
  2. Seleccione SAF (System Authorization Facility) en la lista desplegable en Proveedor de autorización.
  3. Pulse el botón Configurar.
Cuando seleccione Autorización SAF, WebSphere Application Server utiliza la política de autorización que se almacena en el producto de seguridad z/OS para la autorización. Si el registro se ha configurado como LDAP (Lightweight Access Directory Protocol) o Personalizado y se especifica una autorización SAF, es necesaria una correlación a un principal z/OS en cada inicio de sesión para todos los métodos protegidos que deban ejecutarse:
  • Si el mecanismo de autenticación es LTPA (Lightweight Third Party Authentication), se recomienda actualizar todas las siguientes entradas de configuración de modo que incluyan una correlación a un principal z/OS válido (como WEB_INBOUND, RMI_INBOUND y DEFAULT).
  • Si el mecanismo de autenticación es SWAM (Simple WebSphere Authentication Mechanism), debe actualizar la entrada de configuración SWAM de modo que incluya una correlación a un principal z/OS válido.
    Nota: SWAM es una característica obsoleta y se eliminará en un release posterior.

Las propiedades comunes para usuario autenticado, autorización SAF y supresión del mensaje SAF EJBROLE han dejado de ser propiedades personalizadas.

Cuando seleccione esta opción, WebSphere Application Server utiliza la política de autorización almacenada en el producto de seguridad de z/OS para la autorización.

ID de usuario no autenticado

Especifica el ID de usuario MVS que se utiliza para representar solicitudes de servlet sin proteger cuando se especifica autorización SAF o se configura un registro de sistema operativo local. Este ID de usuario debe tener un máximo de ocho caracteres.

Esta definición de propiedad se utiliza en las instancias siguientes:
  • Para la autorización si un servlet sin proteger invoca un bean de entidad
  • Para la identificación de un servlet sin proteger para invocar un conector z/OS como por ejemplo CICS CICS (Customer Information Control System) o IMS (Information Management System), que utilizan una identidad actual cuando res-auth=container
  • Cuando se intenta una función de sincronización con la hebra del sistema operativo iniciada por la aplicación
Para obtener más información, consulte los artículos siguientes del centro de información:
  • "Descripción del Permiso de sincronización con la hebra de OS de la aplicación"
  • "Cuándo se debe utilizar el Permiso de sincronización con la hebra de OS de la aplicación"

Correlacionador de perfiles SAF

Especifica el nombre del perfil EJBRole de SAF con el que se correlaciona un nombre de rol Java EE (Java™ Platform, Enterprise Edition). El nombre que especifique implementa la interfaz com.ibm.websphere.security.SAFRoleMapper.

La clase de implementación com.ibm.ws.security.zOS.authz.SAFRoleMapperImpl, que es la implementación de correlacionador de roles SAF predeterminada, se configura inicialmente. Esta configuración inicial correlaciona todos los caracteres que no están permitidos en un nombre de rol SAF, como el porcentaje (%), ampersand (&), asterisco (*) y caracteres en blanco, con un carácter de almohadilla (#).

Para obtener más información, consulte Desarrollo de correlacionadores de roles EJB SAF

Habilitar la delegación SAF

Especifica que se asigne a las definiciones de EJBROLE SAF la identidad de usuario de MVS, que pasa a ser la identidad activa cuando selecciona el rol RunAs especificado.

Seleccione la opción Habilitar la delegación SAF sólo si selecciona la opción Habilitar autorización SAF como proveedor de autorización externo.

Utilice el perfil APPL para limitar el acceso al servidor de aplicaciones

Utilice el perfil APPL para restringir el acceso a WebSphere Application Server.

Si ha definido un prefijo de perfil SAF, el perfil APPL utilizado es el prefijo del perfil. Si no, el nombre del perfil APPL es CBS390. Todas las identidades de z/OS que utilizan servicios WebSphere deben tener permiso de lectura para el perfil APPL. Esto incluye todas las identidades de WebSphere Application Server, las identidades no autenticadas de WebSphere Application Server, las identidades administrativas de WebSphere Application Server, los ID de usuario basados en correlación de rol a usuario y todas las identidades de usuario para usuarios del sistema. Si la clase APPL no está activa en el sistema z/OS, esta propiedad no tiene efecto, independientemente de su valor.

Información Valor
Valor predeterminado: Habilitado.

Suprimir los mensajes de error de autorización del producto de seguridad de z/OS

Especifica si los mensajes ICH408I se activan o desactivan. El valor predeterminado es false (desactivado), lo que no suprime los mensajes.

SMF (System Management Facility) registra las violaciones de acceso independientemente del valor especificado para esta nueva propiedad. Esta propiedad influye en la generación de mensajes de violación de acceso tanto para los roles definidos por la aplicación como para los roles definidos por la ejecución del servidor de aplicaciones para los subsistemas administrativos y de denominación. Las comprobaciones del perfil EJBROLE se efectúan tanto para las comprobaciones declarativas y programáticas:
  • Las comprobaciones declarativas se codifican como restricciones de seguridad en las aplicaciones web y los descriptores de despliegue se codifican como restricciones de seguridad en los archivos EJB (Enterprise JavaBeans).
  • Las comprobaciones de lógica de programa o comprobaciones de acceso se realizan mediante el método isCallerinRole(x) programado para beans de empresa o isUserInRole(x) para las aplicaciones Web.
Avoid trouble Avoid trouble:
  • Si no desea que se supriman los mensajes de rol administrativo cuando la estrategia de registro de auditoría SMF se establece en Default, establezca la propiedad com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin en false. El valor especificado para esta propiedad altera temporalmente cualquier otro valor que controla la supresión de mensajes para roles administrativos.
  • Cuando se utiliza una autorización de terceros como, por ejemplo, Tivoli Access Manager o SAF para z/OS, es posible que la información de este panel no represente los datos del proveedor. Asimismo, es posible que cualquier modificación de este panel no quede reflejada en el proveedor de forma automática. Siga las instrucciones del proveedor para propagar cualquier modificación del proveedor realizada aquí.
gotcha

Para obtener más información sobre la autorización SAF, consulte "Control de acceso a los usuarios por parte de los usuarios cuando se utiliza un registro OS local" en el centro de información. Para obtener más información sobre los roles administrativos, consulte "Roles de administración" en el centro de información.

Información Valor
Valor predeterminado: Inhabilitado, lo que no suprime los mensajes.

Estrategia de registro de auditoría SMF

Determina cuando un registro de auditoría se ha escrito en SMF (System Management Facility). En cada llamada de autorización, RACF o un producto basado en SAF equivalente puede escribir un registro de auditoría en SMF con el resultado de la comprobación de autorización.

WebSphere Application Server para z/OS utiliza las operaciones SAF RACROUTE AUTH y RACROUTE FASTAUTH y pasa la opción LOG que se especifica en la configuración de seguridad. Las opciones son DEFAULT, ASIS, NOFAIL y NONE.

Las siguientes opciones están disponibles en la lista desplegable:
DEFAULT

Cuando se especifican varias restricciones de rol, como que un usuario debe estar en alguno de los roles de un conjunto, todos los roles excepto el último rol se verifican con la opción NOFAIL. Si se otorga la autorización en uno de los roles anteriores al último rol, WebSphere Application Server escribe un registro de autorización satisfactoria. Si la autorización no es satisfactoria en estos roles, el último rol se verifica con la opción de anotación cronológica ASIS. Si el usuario tiene autorización para el último rol, puede escribirse un registro satisfactorio. Si el usuario no tiene autorización, puede escribirse un registro de anomalía.

ASIS
Especifica que los sucesos de auditoría se registran de la forma que se especifica en el perfil que protege el recurso o de la forma especificada por las opciones SETROPTS.
NOFAIL
Especifica que no se registran las anomalías. Los mensajes de anomalía en la autorización no se emiten, pero los registros de auditoría de autorización satisfactoria pueden escribirse.
NINGUNO
Especifica que no se registran ni las operaciones satisfactorias ni las anómalas.

Sólo se escribe un registro de anomalía en la autorización para una comprobación de autorización Java EE anómala incluso si se han realizado varias llamadas de autorización SAF. Para obtener más información sobre las opciones LOG para llamadas RACROUTE de SAF, consulte la documentación del producto de RACF o de un producto basado en SAF. También puede consultar el tema Soporte de auditoría para obtener información adicional sobre la auditoría de SMF de llamadas de WebSphere Application Server a las macros RACROUTE y a las API de SAF durante el proceso de autorización de recursos.

Prefijo de perfil SAF

Especifica un prefijo que se añadirá a todos los perfiles SAF EJBROLE utilizados para los roles Java EE. Este prefijo se utiliza también como nombre de perfil APPL y se inserta en el nombre de perfil utilizado para las comprobaciones CBIND. No existe un valor predeterminado para el campo Prefijo de perfil SAF. Si no se especifica explícitamente un prefijo, no se añadirá ningún prefijo a los perfiles SAF EJBROLE, se utilizará el valor predeterminado CBS390 como nombre de perfil APPL y no se insertará nada en el nombre de perfil de las comprobaciones CBIND.

Puede usar el perfil APPL para limitar el acceso a WebSphere Application Server

Si ha definido un prefijo de perfil SAF, el perfil APPL utilizado es el prefijo del perfil. Si no, el nombre del perfil APPL es CBS390. Todas las identidades de z/OS que utilizan servicios WebSphere deben tener permiso de lectura para el perfil APPL. Esto incluye todas las identidades de WebSphere Application Server, las identidades no autenticadas de WebSphere Application Server, las identidades administrativas de WebSphere Application Server, los ID de usuario basados en correlación de rol a usuario y todas las identidades de usuario para usuarios del sistema. Tenga en cuenta que si la clase APPL no está activa en el sistema z/OS, esta propiedad no tiene efecto, independientemente de su valor.

Nota: El prefijo del perfil SAF corresponde a la propiedad com.ibm.security.SAF.profilePrefix.name en el archivo security.xml.

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_safpropszos
File name: usec_safpropszos.html