![[z/OS]](../images/ngzos.gif)
Mise à jour de configurations de connexion du système pour effectuer un mappage d'identité utilisateur SAF (System Authorization Facility)
Pour réaliser un mappage d'identité SAF (System Authorization Facility), vous devez utiliser cette tâche.
Avant de commencer
Pourquoi et quand exécuter cette tâche
Il est nécessaire de placer un module de mappage dans la configuration JAAS (Java™ Authentication and Authorization Service) pour permettre l'association d'un registre de système d'exploitation non local à un ID utilisateur SAF. Le module de connexion com.ibm.ws.security.common.auth.module.MapPlatformSubject suit ce module de mappage dans la configuration. Pour ce faire, utilisez le mécanisme d'authentification SWAM (Simple WebSphere Authentication Mechanism) ou LTPA (Lightweight Third Party Authentication).
Voir la section sur la sélection d'un mécanisme d'authentification pour en savoir plus. Voir Java Authentication and Authorization Service pour plus d'informations.
Les configurations de connexion des applications ne demandent pas de changements pour réaliser le mappage d'identité SAF. L'entrée de configuration de connexion WSLogin de WebSphere appelle un module de connexion du système configuré comme module par défaut et effectuant le mappage si une autorisation SAF est requise.
Pour modifier les configuration en vue d'effectuer un mappage d'identité SAF (System Authorization Facility) et que WebSphere Application Server est configuré, vous devez suivre la procédure ci-dessous.
Procédure
- Utilisez la console d'administration ou les outils de script de WebSphere Application Server pour mettre à jour les configuration de connexion système requises.
- Si nécessaire, mettez à jour le panneau du registre d'utilisateurs approprié afin d'activer l'autorisation SAF.
- Si vous migrez une installation WebSphere Application Server, Network Deployment, vous devez mettre à jour tous les noeuds sur le niveau de service prenant en charge le mappage d'identité SAF avant d'activer l'autorisation SAF pour un registre de système d'exploitation non local.
Résultats
Que faire ensuite
Lorsque LTPA est configuré, si vous mappez le registre WebSphere Application Server sur un ID utilisateur SAF, les entrées de configuration de connexion de système suivantes doivent être configurées pour fournir le mappage d'utilisateur :
- WEB_INBOUND
- La configuration de connexion WEB_INBOUND gère les connexions
pour les demandes d'applications Web, à savoir des servlets et
fichiers JSP (JavaServer pages). Cette configuration de connexion
interagit avec l'objet en sortie généré à partir d'un intercepteur de
relations de confiance, s'il est configuré. Le sujet transmis dans la
configuration de connexion WEB_INBOUND peut contenir des objets
générés par l'intercepteur de relations de confiance.
Les demandes de la console d'administration de WebSphere Application Server et un sous-ensemble de fonctions, incluant le transfert de fichiers, sont authentifiées à l'aide de cette entrée de configuration de connexion.
- RMI_INBOUND
- La configuration de connexion RMI_INBOUND gère les connexions pour les demandes RMI entrantes. En général, ces connexions correspondent à des demandes d'accès authentifié à des fichiers EJB (Enterprise JavaBeans) et peuvent être exécutées sous la forme de demandes JMX (Java Management Extensions) avec un connecteur RMI.
- DEFAULT
- La configuration de connexion DEFAULT gère les connexions pour les demandes entrantes émises par la plupart des autres protocoles et authentifications internes, comme la communication entre un contrôleur z/OS et des processus servants après l'exécution d'une demande d'authentification initiale.
Lorsque SWAM est configuré, si vous mappez le registre d'utilisateurs WebSphere Application Server sur une identité SAF, configurez l'entrée de configuration de connexion système suivante pour fournir le mappage d'utilisateur :
- SWAM
- Cette entrée est utilisée pour toutes les authentifications quand le mécanisme SWAM est sélectionné.