[z/OS]

Identité d'unité d'exécution Java et identité d'unité d'exécution de système d'exploitation

Vous pouvez définir des options pour synchroniser une identité d'unité d'exécution Java™ et une identité d'unité d'exécution de système d'exploitation.

Enterprise JavaBeans (EJB) prend en charge une spécification de rôle RunAs au niveau de la méthode, qui associe un rôle Java Platform, Enterprise Edition (Java EE) à un appel de méthode EJB. La méthode EJB s'exécute avec l'autorité associée au rôle de sécurité indiqué. L'autorité est affectée au rôle désigné à l'aide d'une identité d'utilisateur. En général, cette identité est reconnue par l'exécution basée sur le Web de Java EE et est associé à l'unité d'exécution de distribution en cours. Cette identité gère uniquement l'accès aux ressources et aux fonctions soumises à la sécurité Java EE. L'identité d'unité d'exécution du système d'exploitation n'est pas affectée par la sélection du rôle d'exécution (RunAs) EJB et correspond généralement à l'identité du serveur.

La définition de l'identité d'unité d'exécution du système d'exploitation synchronise l'identité du rôle Java EE et l'unité d'exécution du système d'exploitation (SyncToOSThread). Par conséquent, l'identité d'unité d'exécution du système d'exploitation est associée à l'identité du rôle Java EE pour la durée de l'appel de la méthode EJB (les assembleurs et les déployeurs d'applications associent l'identité RunAs à l'unité d'exécution du système d'exploitation en définissant l'identité de l'unité d'exécution avec celle RunAs pour des méthodes de beans spécifiques). Avec cette association, l'appelant ou l'identité du rôle de sécurité (plutôt que l'identité de la région du serveur) est utilisée pour les demandes de service du système z/OS, comme l'accès à des fichiers et à des systèmes de gestion de base de données. Le serveur WebSphere Application Server for z/OS Java EE peut être configuré pour activer et désactiver cette association (ou synchronisation. Le paramètre par défaut désactive la possibilité de modifier l'identité sur l'unité d'exécution du système d'exploitation, quelle que soit l'identité d'unité d'exécution du système d'exploitation avec le paramètre RunAs dans le descripteur de déploiement pour l'application installée. Si le responsable de l'installation de l'application n'active pas la synchronisation, toute méthode définissant l'identité RunAs pour le système d'exploitation échoue avec une erreur de droits d'accès.

Continuez à indiquer les options permettant de synchroniser l'identité d'une unité d'exécution Java et celle d'une unité d'exécution du système d'exploitation en utilisant la fonction de contrôle d'accès aux données (RACF) pour définir les profils de classe FACILITY et facultativement SURROGAT pour les synchroniser avec des systèmes d'exploitation autorisant les unités d'exécution. L'administrateur RACF dispose alors, dans la configuration WebSphere Application Server, de la capacité à contrôler les droits d'accès qui permettent la synchronisation de l'identité du rôle Java EE et de l'unité d'exécution du système d'exploitation (SyncToOSThread).

A l'aide de la console d'administration, vous pouvez indiquer les options de synchronisation suivantes de l'identité d'unité d'exécution dans le panneau des options de sécurité z/OS :
Activer WebSphere Application Server et la synchronisation d'identité des unités d'exécution z/OS
Indique si une application SynchToOSThread est autorisée. Si cette option de sécurité est sélectionnée (valeur true), l'application SyncToOSThread est acceptée et exécutée par les conteneurs d'EJB et Web comme indiqué par les spécifications SyncToOSThread des applications EJB et Web. La valeur par défaut est false ou désactivée.
Activer l'identité d'unité d'exécution RunAs du gestionnaire des connexions
Indique si le gestionnaire de connexions synchronise l'application Java EE actuelle avec l'unité d'exécution du système d'exploitation lorsqu'une connexion est établie à partir d'une référence de ressource indiquant res-auth=container. La valeur par défaut est false ou désactivée.
Vous pouvez également sélectionner la prise en charge SyncToOSThread avec un descripteur de déploiement étendu (XDD) au niveau de la méthode pour des EJB (Enterprise JavaBeans). Activez cette prise en charge avec une entrée d'environnement distinct définie via le descripteur de déploiement standard de l'application EJB ou Web. Lors de l'assemblage ou du déploiement, associez une valeur à cette variable en indiquant :
  • True, pour que l'identité ou l'application principale Java EE soit synchronisée avec l'unité d'exécution du système d'exploitation pour toutes les demandes appelées dans l'application EJB ou Web.
  • False, pour que l'identité ou l'application principale Java EE ne soit pas synchronisée avec l'unité d'exécution du système d'exploitation pour toutes les demandes appelées dans l'application EJB ou Web. Il s'agit de la valeur par défaut.
Lors du traitement d'une demande, le conteneur Web comprend les rôles requis, le cas échéant, pour accéder au composant représenté par l'URL d'entrée. Le conteneur valide l'authentification du demandeur et confirme que les droits d'accès aux rôles requis ont été octroyés à l'utilisateur autorisé. Le conteneur Web emploie le même registre d'utilisateurs SAF (System Authorization Facility) et les mêmes profils de rôles EJB que le conteneur d'EJB pour réaliser cette validation. Par conséquent, vous pouvez utiliser le même registre d'utilisateurs et les mêmes profils de rôles pour gérer les applications Web, les EJB et les services Java EE. Pour définir une identité d'unité d'exécution, voici des registres d'utilisateurs actifs possibles :
  • Système d'exploitation local
  • LDAP
  • personnalisé
Les événements d'applications modifiant la valeur de l'identité d'unité d'exécution incluent :
Valeur initiale quand la première méthode est définie.
Par défaut, les appels des méthodes de service de servlet et des méthodes métier d'EJB s'exécutent de façon implicite comme appelant (RunAsCaller), sauf indication contraire dans la zone Exécuter sous de l'attribut d'une règle. Les applications client EJB s'exécutent toujours en tant que serveur (RunAsServer).
Remarque : Si aucune contrainte de sécurité n'est indiquée pour les applications Web, l'application peut s'exécuter avec un ID utilisateur non authentifié.
La délégation de méthode devient l'identité Java EE (indiquée RunAs)
Le gestionnaire de connexions synchronise l'identité Java EE en cours à l'unité d'exécution du système d'exploitation lors de l'obtention d'applications à partir de références de ressources possédant une autorisation de ressource gérée par conteneur (res-auth=container). Les méthodes EJB signalées par SynchToOSThread entraînent la synchronisation de l'identité du rôle Java EE avec l'unité d'exécution du système d'exploitation.
WSSubject.doAs()
Avec ce paramètre, vous bénéficiez d'une certaine souplesse lors de l'association du sujet aux appels éloignés sur une unité d'exécution, sans devoir lancer WSSubject.doAs() pour associer le sujet à l'action éloignée.
L'identité d'unité d'exécution est temporairement réinitialisée sur le serveur dans les situations suivantes :
Compilation de fichiers JSP (JavaServer Pages)
La compilation de fichiers JSP du conteneur Web modifie l'identité du serveur si SyncToOSThread est activé pour ce dernier (security_EnableSyncToOSThread=1).
Accès à la mémoire auxiliaire avec état
L'activation de la session avec état du conteneur EJB change l'identité du serveur si SyncToOSThread est activé. Accédez toujours à la mémoire auxiliaire de la session avec état EJB avec l'identité du serveur.
Rechargement de l'application Web
Lorsque le conteneur Web recharge l'application Web, il modifie l'identité du serveur si SyncToOSThread est activé pour les applications Web.
Demandes du gestionnaire de connexions
Lorsque la référence de ressource indique res-auth=application, l'identité d'unité d'exécution est temporairement identique à celle du serveur.
Remarque : Lors d'une exécution avec la sécurité administrative activée, il est recommandé d'activer la sécurité Java 2. Soyez prudent au moment d'activer cette prise en charge car des ressources générales du système z/OS (comme des fichiers ou des sockets) peuvent échapper au contrôle du module d'exécution WebSphere Application Server et leur gestion peut être accessible aux identités établies via des applications Java EE.

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_threadidentzos
Nom du fichier : csec_threadidentzos.html