![[z/OS]](../images/ngzos.gif)
Mapper un principal de registre à un ID utilisateur de System Authorization Facility à l'aide du module de connexion de Java Authentication and Authorization Services
Vous pouvez utiliser un module de connexion JAAS (Java™ Authentication and Authorization Services) pour mapper un principal de registre sur l'ID utilisateur SAF (System Authorization Facility).
- Un module de connexion connectable peut configurer des attributs z/OS bien définis dans le plan partagé lors de la connexion.
- L'exemple de module de mappage com.ibm.websphere.security.SampleSAFMappingModule est fourni par WebSphere Application Server. Ce module établit les attributs z/OS définis dans l'Etat Partagé. Ce module doit précéder l'entrée du module de mappage com.ibm.ws.security.common.auth.module.MapPlatformSubject dans la liste des modules de connexion.
L'ensemble suivant d'attributs bien définis utilisés dans WebSphere Application Server est défini dans la classe com.ibm.wsspi.security.token.AttributeNameConstants qui est disponible dans le fichier sas.jar :
com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_USERID
Utilisez cet attribut pour définir la valeur de l'ID utilisateur MVS quand une opération effectuée nécessite un ID utilisateur z/OS SAF. En l'absence de valeur, WebSphere Application Server prend un utilisateur non authentifié pour établir un ID utilisateur SAF. Cet ID utilisateur SAF doit être un ID utilisateur MVS valide.
com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_AUDIT_STRING
Utilisez cet attribut pour indiquer que la chaîne spécifiée est placée dans la propriété X500Name lors de la création d'un ACEE (access control environment element) de RACF (Resource Access Control Facility).
- Vérification d'autorisation EJBROLE
- Toute vérification d'accès pour une application exécutée avec l'identité du système d'exploitation et synchronisée avec l'identité J2EE (Java 2, Enterprise Edition). Pour plus d'informations, voir Identité d'unité d'exécution Java et identité d'unité d'exécution de système d'exploitation.
com.ibm.wsspi.security.token.AttributeName.Constants.CALLER_PRINCIPAL_CLASS
Utilisez ce champ facultatif pour indiquer quelle classe principale d'un sujet JAAS est renvoyée lors de l'utilisation des API (application programming interfaces) getCallerPrincipal et getUserPrincipal.
- L'exécution de WebSphere Application Server
- Un module de connexion JAAS
La valeur par défaut de cette zone est com.ibm.websphere.security.auth.WSPrincipal. L'emploi de cette valeur par défaut renvoie le nom du principal WebSphere Application Server dans le registre configuré de WebSphere Application Server.
Pour renvoyer un principal SAF mappé, spécifiez com.ibm.ws.security.zos.Principal. En présence d'une valeur sans correspondance d'un principal avec la valeur CALLER_PRINCIPAL_CLASS spécifiée, la valeur renvoyée indique un utilisateur authentifié. La spécification de getUserInRole renvoie une valeur nulle et celle de getCallerPrincipal() renvoie une chaîne qui indique que l'utilisateur n'est pas authentifié.
- Identité de serveur
- Cette identité, toujours mappée sur l'ID utilisateur du processus, est attribuée par le profil STARTED.
- Identité SAF correspondant à l'utilisateur UNAUTHENTICATED
- L'identité SAF correspondant à l'utilisateur UNAUTHENTICATED signifie qu'il n'y a pas d'identité réseau. Vous pouvez également configurer cette valeur à l'aide de l'outil de gestion des profils de WebSphere z/OS ou de la commande zpmt. Vous pouvez la modifier à l'aide de la console d'administration. Il vous est recommandé de créer l'identité SAF pour les utilisateurs non authentifiés avec l'attribut RESTRICTED.