![[z/OS]](../images/ngzos.gif)
Identité d'unité d'exécution Java et identité d'unité d'exécution de système d'exploitation
Vous pouvez définir des options pour synchroniser une identité d'unité d'exécution Java™ et une identité d'unité d'exécution de système d'exploitation.
Enterprise JavaBeans (EJB) prend en charge une spécification de rôle RunAs au niveau de la méthode, qui associe un rôle Java Platform, Enterprise Edition (Java EE) à un appel de méthode EJB. La méthode EJB s'exécute avec l'autorité associée au rôle de sécurité indiqué. L'autorité est affectée au rôle désigné à l'aide d'une identité d'utilisateur. En général, cette identité est reconnue par l'exécution basée sur le Web de Java EE et est associé à l'unité d'exécution de distribution en cours. Cette identité gère uniquement l'accès aux ressources et aux fonctions soumises à la sécurité Java EE. L'identité d'unité d'exécution du système d'exploitation n'est pas affectée par la sélection du rôle d'exécution (RunAs) EJB et correspond généralement à l'identité du serveur.
La définition de l'identité d'unité d'exécution du système d'exploitation synchronise l'identité du rôle Java EE et l'unité d'exécution du système d'exploitation (SyncToOSThread). Par conséquent, l'identité d'unité d'exécution du système d'exploitation est associée à l'identité du rôle Java EE pour la durée de l'appel de la méthode EJB (les assembleurs et les déployeurs d'applications associent l'identité RunAs à l'unité d'exécution du système d'exploitation en définissant l'identité de l'unité d'exécution avec celle RunAs pour des méthodes de beans spécifiques). Avec cette association, l'appelant ou l'identité du rôle de sécurité (plutôt que l'identité de la région du serveur) est utilisée pour les demandes de service du système z/OS, comme l'accès à des fichiers et à des systèmes de gestion de base de données. Le serveur WebSphere Application Server for z/OS Java EE peut être configuré pour activer et désactiver cette association (ou synchronisation. Le paramètre par défaut désactive la possibilité de modifier l'identité sur l'unité d'exécution du système d'exploitation, quelle que soit l'identité d'unité d'exécution du système d'exploitation avec le paramètre RunAs dans le descripteur de déploiement pour l'application installée. Si le responsable de l'installation de l'application n'active pas la synchronisation, toute méthode définissant l'identité RunAs pour le système d'exploitation échoue avec une erreur de droits d'accès.
Continuez à indiquer les options permettant de synchroniser l'identité d'une unité d'exécution Java et celle d'une unité d'exécution du système d'exploitation en utilisant la fonction de contrôle d'accès aux données (RACF) pour définir les profils de classe FACILITY et facultativement SURROGAT pour les synchroniser avec des systèmes d'exploitation autorisant les unités d'exécution. L'administrateur RACF dispose alors, dans la configuration WebSphere Application Server, de la capacité à contrôler les droits d'accès qui permettent la synchronisation de l'identité du rôle Java EE et de l'unité d'exécution du système d'exploitation (SyncToOSThread).
- Activer WebSphere Application Server et la synchronisation d'identité des unités d'exécution z/OS
- Indique si une application SynchToOSThread est autorisée. Si cette option de sécurité est sélectionnée (valeur true), l'application SyncToOSThread est acceptée et exécutée par les conteneurs d'EJB et Web comme indiqué par les spécifications SyncToOSThread des applications EJB et Web. La valeur par défaut est false ou désactivée.
- Activer l'identité d'unité d'exécution RunAs du gestionnaire des connexions
- Indique si le gestionnaire de connexions synchronise l'application Java EE actuelle avec l'unité d'exécution du système d'exploitation lorsqu'une connexion est établie à partir d'une référence de ressource indiquant res-auth=container. La valeur par défaut est false ou désactivée.
- True, pour que l'identité ou l'application principale Java EE soit synchronisée avec l'unité d'exécution du système d'exploitation pour toutes les demandes appelées dans l'application EJB ou Web.
- False, pour que l'identité ou l'application principale Java EE ne soit pas synchronisée avec l'unité d'exécution du système d'exploitation pour toutes les demandes appelées dans l'application EJB ou Web. Il s'agit de la valeur par défaut.
- Système d'exploitation local
- LDAP
- personnalisé
- Valeur initiale quand la première méthode est définie.
- Par défaut, les appels des méthodes de service de servlet et des méthodes métier d'EJB s'exécutent de façon implicite comme
appelant (RunAsCaller),
sauf indication contraire dans la zone Exécuter sous de l'attribut d'une règle. Les applications client EJB
s'exécutent toujours en tant que serveur (RunAsServer). Remarque : Si aucune contrainte de sécurité n'est indiquée pour les applications Web, l'application peut s'exécuter avec un ID utilisateur non authentifié.
- La délégation de méthode devient l'identité Java EE (indiquée RunAs)
- Le gestionnaire de connexions synchronise l'identité Java EE en cours à l'unité d'exécution du système d'exploitation lors de l'obtention d'applications à partir de références de ressources possédant une autorisation de ressource gérée par conteneur (res-auth=container). Les méthodes EJB signalées par SynchToOSThread entraînent la synchronisation de l'identité du rôle Java EE avec l'unité d'exécution du système d'exploitation.
- WSSubject.doAs()
- Avec ce paramètre, vous bénéficiez d'une certaine souplesse lors de l'association du sujet aux appels éloignés sur une unité d'exécution, sans devoir lancer WSSubject.doAs() pour associer le sujet à l'action éloignée.
- Compilation de fichiers JSP (JavaServer Pages)
- La compilation de fichiers JSP du conteneur Web modifie l'identité du serveur si SyncToOSThread est activé pour ce dernier (security_EnableSyncToOSThread=1).
- Accès à la mémoire auxiliaire avec état
- L'activation de la session avec état du conteneur EJB change l'identité du serveur si SyncToOSThread est activé. Accédez toujours à la mémoire auxiliaire de la session avec état EJB avec l'identité du serveur.
- Rechargement de l'application Web
- Lorsque le conteneur Web recharge l'application Web, il modifie l'identité du serveur si SyncToOSThread est activé pour les applications Web.
- Demandes du gestionnaire de connexions
- Lorsque la référence de ressource indique res-auth=application, l'identité d'unité d'exécution est temporairement identique à celle du serveur.