![[z/OS]](../images/ngzos.gif)
Remarques sur la sécurité à prendre en compte lors de l'utilisation des adaptateurs locaux optimisés avec IMS
Cette rubrique contient des remarques sur la sécurité à prendre en compte lors de l'utilisation des adaptateurs locaux optimisés avec IMS.
- MPR (MPP)
- Fast Path (IFP)
- Batch Message Processing (BMP)
- Batch DL/I
Il existe plusieurs méthodes pour associer l'identité de l'utilisateur à la tâche IMS et son bloc de contrôle. Pour BMP, l'ID utilisateur du travail correspond à l'identité qui requiert un accès à la classe CBIND. Pour IFP et MPP, il existe un autre moyen de définir l'ID utilisateur sur le bloc de contrôle. Si la macro SECURITY de l'environnement IMS indique SECLVL=(TRANAUTH,SIGNON), l'ID utilisateur fourni au moment de la connexion doit se trouver dans la base de données SAF locale et l'authentification SAF se produit. De plus, l'accès à la transaction est vérifiée à l'aide de SAF.
Lorsque l'exécution se fait à l'aide de ces options et que "Build Security Environment" est utilisé, l'exit DFSBSEX0 transmet un code retour 4 à IMS. IMS vérifie alors que le bloc de contrôle sous lequel la transaction est expédiée est synchronisé avec l'ID SAF qui a été authentifié.
L'ID de l'utilisateur de l'application requiert un accès READ à la classe CBIND SAF de WebSphere Application Server pour que l'appel de l'API Register des adaptateurs locaux optimisés aboutisse. Les transactions IMS initiées à partir des appelants à l'aide du protocole OTMA (Open Transaction Manager Access) utilisent le paramètre OTMASE pour déterminer si le contexte de sécurité de l'unité d'exécution/du bloc de contrôle en cours a été mis à jour. En affectant au paramètre OTMASE la valeur OTMASE=FULL, vous indiquez que l'identité envoyée par l'appel client OTMA est l'identité de l'unité d'exécution de MPP ou IFP. Dans ce scénario, l'ID client requiert un accès READ à la classe CBIND.
Lorsque le travail des transactions est transmis depuis IMS à WebSphere Application Server for z/OS, l'ID utilisateur est propagé dans le conteneur EJB de WebSphere Application Server, puis vérifié.
Lorsque les adaptateurs locaux optimisés sont utilisés pour appeler des transactions IMS existantes et non modifiées sur OTMA, l'identité du client WebSphere Application Server actuel peut être propagé vers les transactions IMS implémentées et vérifiées dans les régions MPR et IFP. Pour ce faire, vérifiez que le serveur WebSphere peut s'exécuter lorsque l'option SyncToOS Thread est activée. Pour en savoir plus sur l'activation de l'option SyncToOS Thread, voir la rubrique Options de sécurité de z/OS. Une fois l'option SyncToOS Thread activée, vérifiez que le paramètre OTMASE de l'environnement IMS cible est défini à F, FULL. Une fois ces options configurées, l'identité de l'utilisateur dans l'environnement WebSphere Application Server est propagé vers une région IMS MPP ou IFP puis vérifié. Ceci ne s'applique pas aux régions BMP (Batch Message Processing).
