![[z/OS]](../images/ngzos.gif)
Sécurisation des adaptateurs locaux optimisés pour la prise en charge des appels en entrée
Cette tâche permet de configurer la sécurité des connexions des adaptateurs locaux optimisés qui effectuent des appels en entrée.
Avant de commencer
Exécutez les serveurs WebSphere Application Server for z/OS avec la sécurité globale et activez l'option d'unité d'exécution synchronisée avec le système d'exploitation si vous comptez utiliser les API d'adaptateurs locaux optimisés avec ces serveurs. Pour en savoir plus sur la sécurité globale, voir la rubrique Activation de la sécurité. Pour en savoir plus sur l'activation de l'option d'unité d'exécution synchronisée avec le système d'exploitation, voir la rubrique "Options de sécurité de z/OS".
L'accès local aux serveurs WebSphere Application Server for z/OS est protégé par la classe CBIND SAF (System Authorization Facility). Cette classe est définie pendant la création du profil et est utilisée pour protéger les serveurs WebSphere Application Server for z/OS quand les demandes de connexion client locales IIOP (Internet Inter-ORB Protocol) sont effectuées et pour les requêtes des adaptateurs locaux optimisés. Avant l'exécution de toute application qui utilise l'API Register, assurez-vous que l'accès en mode lecture est accordé à l'ID utilisateur pour le travail, ainsi que le processus USS (UNIX System Services) ou la région CICS (Customer Information Control System) à la classe CBIND pour le serveur cible. La configuration est réalisée par le travail BBOCBRAK. Pour plus d'informations sur la classe CBIND, lisez la rubrique Utilisation de CBIND pour contrôler l'accès aux clusters.
Toutes les demandes entrantes parvenant à WebSphere Application Server s'exécutent avec les droits d'accès de l'utilisateur courant de l'unité d'exécution. Cette identité est automatiquement propagée et affirmée par assertion dans le conteneur EJB (Enterprise JavaBeans), et c'est sous cette identité que l'application s'exécute. Les demandes entrantes acheminées dans un bean enterprise cible arrivent de la même manière que les appels de méthode pour les demandes IIOP locales et les options de sécurité RunAs fonctionnent de la même façon que les requêtes IIOP locales.
Pour les demandes transmises de CICS à WebSphere Application Server, vous pouvez indiquer que vous souhaitez utiliser l'identité de l'application CICS courante en configurant un indicateur dans ce but avec l'appel d'API Register.
Pourquoi et quand exécuter cette tâche
Procédure
Définissez la variable d'environnement de manière à pouvoir utiliser les identités au niveau des applications CICS pour l'authentification lors de la demande d'enregistrement. Vous pouvez définir la variable dans la console d'administration de la manière suivante :
- Cliquez sur Environnement > Variables WebSphere.
- Sous Portée, sélectionnez Cellule dans la liste déroulante Afficher la sélection de portée. Si la variable d'environnement ola_cicsuser_identity_propagate s'affiche dans la liste des ressources, il n'est pas nécessaire de l'ajouter à nouveau. Vous pouvez passer à l'étape c. Si vous n'avez pas ajouté la variable dans la liste de ressources, vous devez cliquer sur Ajouter. La variable d'environnement ola_cicsuser_identity_propagate doit être ajoutée à la liste d'affichage la première fois que vous effectuez cette tâche. Après l'ajout initial, vous pouvez sélectionner à chaque fois ola_cicsuser_identity_propagate dans la liste d'affichage après avoir défini la portée.
- Cliquez sur ola_cicsuser_identity_propagate. Une fenêtre affiche les Propriétés générales où vous pouvez configurer la variable.
- Réglez à 1 la variable d'environnement de WebSphere Application Server. Si vous la réglez à 0 ou la laissez indéfinie, la sécurité de niveau application de CICS n'est pas respectée dans un appel en entrée de WebSphere Application Server.
- Cliquez sur Valider et OK.