![[z/OS]](../images/ngzos.gif)
Consideraciones de SAF (System Authorization Facility) para los niveles de sistema operativo y aplicación
Hay determinadas cosas que se han de tener en cuenta para habilitar la autorización SAF (System Authorization Facility) para el sistema operativo y los niveles de aplicaciones.
- Los recursos se pueden proteger a nivel de sistema operativo. Si un programa accede a un recurso protegido, el gestor de recursos utiliza una llamada a SAF para que el gestor de seguridad, normalmente RACF, realice una comprobación de autorización.
- Los recursos se pueden proteger a nivel de aplicación. Si una aplicación Java™ Platform, Enterprise Edition (Java EE) tiene una restricción de seguridad, el contenedor utilizará una llamada a SAF para que el gestor de seguridad (RACF) realice una comprobación de autorización.
Cuando se habilita la autorización SAF, el gestor de seguridad del sistema operativo (RACF o un producto equivalente) es el que realiza siempre la autorización en cualquier nivel. Por lo tanto, es fundamental que los usuarios se autentiquen con un ID de usuario del gestor de seguridad (RACF). Consulte Resumen de controles para obtener más información.
Cuando se selecciona la autorización SAF durante la personalización de sistemas, los perfiles EFBROLE administrativos de todos los roles administrativos se definen mediante los trabajos RACF generados mediante la herramienta de gestión de perfiles z/OS o el mandato zpmt. Se puede utilizar la autorización SAF (los perfiles EJBROLE de SAF para asignar usuarios y grupos SAF a los roles) como mecanismo de autorización para todos los registros de usuario. Si se selecciona la autorización SAF en la consola administrativa, altera temporalmente las otras opciones de autorización (por ejemplo, la autorización de Tivoli Access Manager).
Si no selecciona el sistema operativo local, debe correlacionar la identidad distribuida con un ID de usuario SAF utilizando una de dos opciones. Puede configurar e instalar un módulo de inicio de sesión JAAS (Java Authentication and Authorization Service) para realizar la correlación, o bien en WebSphere Application Server Versión 8.0 puede utilizar la característica de correlación de identidad distribuida SAF.
Tenga en cuenta que la autorización SAF también está soportada para registros que no son de sistema operativo local. Si activa SAF, se convierte en el proveedor por omisión (que maneja las funciones de administración y denominación). Si habilita SAF, se convierte en el proveedor de autorizaciones nativo.
Para obtener más información, consulte Selección de un registro o repositorio.
- Todos
- Cuando se habilita la autorización SAF, SAF utiliza la autenticación de usuario para imponer el acceso a las aplicaciones web. Si selecciona el valor Todos, cualquier usuario definido en el registro podrá iniciar sesión en la aplicación web y se autenticarán los sujetos o principales.
WebSphere Application Server for z/OS utiliza el ID de usuario predeterminado (no autenticado) y un ACEE que comprueba el acceso ACCESS( READ) definido con el atributo RESTRICTE. Por lo tanto, no se aplica la autoridad de acceso universal (UACC). Si, cuando SAF no impone la autenticación para ejbroles, desea que todos puedan acceder a un rol concreto, debe otorgar el acceso ID ACCESS( READ) de usuario predeterminado (no autenticado) para habilitar una solicitud que se ejecute con usuario no autenticado. Si no desea otorgar el acceso ID ACCESS( READ) de usuario predeterminado, RACF devolverá "false" (falso) a una solicitud no autenticada. .
- Todos los autenticados
- Puede permitir que cualquier nombre en el registro de usuarios inicie una sesión
en la aplicación web (todos los nombres de usuarios se autentican cuando se inicia
la sesión).
Debe definir UACC(READ) en el perfil al que se está accediendo y no
emitir el mandato RACF PERMIT para el ID de usuario por omisión. Nota: La autoridad de acceso universal no se aplica a los usuarios definidos con el atributo RESTRICTED. Por ejemplo, si desea que la identidad no autenticada de WebSphere tenga acceso de lectura a un EJBROLE, debe otorgar explícitamente el permiso de lectura del ID, independientemente del valor UACC.
Cuando se utiliza el registro del sistema operativo local, puede controlar el acceso de los usuarios a la consola.
Si posteriormente decide activar la autorización SAF, debe emitir estos mandatos RACF para habilitar el funcionamiento correcto de WebSphere Application Server. (Cambie el valor del ID de usuario por omisión configurado si ha elegido un ID de usuario no autenticado diferente).