[z/OS]

Java Platform, identité Enterprise Edition et identité d'unité d'exécution du système

Un utilisateur est identifié à l'aide d'une identité devant être authentifiée par WebSphere Application Server afin d'accéder à une application WebSphere Application Server dans un environnement sécurisé.

Présentation des différents types d'identité : WebSphere Application Server authentifie l'identité de l'utilisateur et le représente à l'aide d'un sujet JAAS (Java™ Authentication and Authorization Service). Un sujet contient un ou plusieurs principaux (des représentations de l'identité authentifiée dépendant de la technologie). Voici des détails :
Identité de l'utilisateur
Identité Java EE
L'identité de l'utilisateur authentifiée par WebSphere et employée pour les décisions de contrôle d'accès prises par WebSphere Application Server lors de l'exécution d'une plateforme Java, Enterprise Edition (Java EE) (telle que l'identité de l'utilisateur associée à la demande d'application Java EE et utilisée dans les décisions de contrôle d'accès à l'autorisation de la méthode EJB ).
Identité du système d'exploitation
Identité de l'utilisateur authentifiée par le système d'exploitation sous-jacent et utilisé pour les décisions de contrôle d'accès prises par le système d'exploitation et ses sous-systèmes (comme l'identité de l'utilisateur associé à un servant WebSphere Application Server for z/OS par la fonction de classe SAF STARTED et utilisée par le système de fichiers pour les décisions de contrôle d'accès lorsque le serveur tente d'accéder à des fichiers).
Identité d'unité d'exécution
Identité d'unité d'exécution Java.
IdentitéJava EE actuellement associée à une unité d'exécution Java gérée par l'exécution WebSphere Java EE (une unité d'exécution Java est la représentation par la machine virtuelle Java d'une unité d'exécution). L'identité de l'unité d'exécution Java est associée à une unité d'exécution du système d'exploitation, mais la machine virtuelle Java gère l'identité de l'utilisateur sur la représentation Java de l'unité d'exécution (distincte de l'identité de l'utilisateur que le système d'exploitation gère sur l'unité d'exécution du système d'exploitation). L'identitéJava EE est active sur l'unité d'exécution Java pour la durée de vue d'une demande d'application donnée.
Identité d'unité d'exécution du système d'exploitation
L'identité du système d'exploitation actuellement associée à l'unité d'exécution du système d'exploitation. Elle correspond généralement à l'identité de l'utilisateur attribuée au servant et est normalement différente de l'identité d'exécution Java. Gardez à l'esprit que Java EE conserve une identité Java EE qui correspond à l'identité de l'unité d'exécution du système d'exploitation attribuée au servant. Cette identité Java EE peut être employée comme identité RunAs.
Identité RunAs
Identité Java EE choisie comme identité d'unité d'exécution Java pour une demande d'application Java EE donnée (en fonction de la règle du descripteur de déploiement RunAs sur un Enterprise JavaBeans (EJB) appelé dans la demande d'application Java EE). L'identité Java EE correspond normalement à l'identité de d'utilisateur identifié qui a fait la demande d'application Java EE . La règle RunAs de WebSphere Application Server offre trois options d'attribution d'identité d'unité d'exécution Java pour la demande actuelle :
  1. Attribuer l'identité Java EE du client (par exemple l'utilisateur) ce qui revient aussi à sélectionner le mode RunAs correspondant à l'appelant.
  2. Attribuer l'identité Java EE du serveur
  3. Attribuer l'identité Java EE figurant dans le rôle indiqué.

Lorsque la sécurité est activée, chaque demande WebSphere Application Server for z/OS qui appelle un composant Java EE est authentifiée pour vérifier que l'accès est demandé par un utilisateur autorisé. Un utilisateur est représenté par une identité Java EE (également appelée sujet JAAS). Cette identité Java EE contient un ou plusieurs principaux et chaque principal correspond à une identité spécifique d'utilisateur. Cette association est gérée par WebSphere Application Server. Les identités d'unité d'exécution Java EE et du système d'exploitation sont associées car elles portent le même nom et désignent le même utilisateur.

WebSphere Application Server for z/OS distribue des demandes de composant dans l'un de ses processus servants disponibles. Dans le processus servant, la demande de composant est distribuée sur une unité d'exécution Java. Une unité d'exécution Java est ensuite mappée en interne par la machine virtuelle Java à un bloc de contrôle d'unité d'exécution z/OS. Ce bloc de contrôle est une unité d'exécution du système d'exploitation et il est considéré comme élément de l'infrastructure de processus natifs. Une identité du système d'exploitation est attribuée à un processus servant à son démarrage. La règle de sécurité z/OS utilise la fonction de classe SAF STARTED pour attribuer l'identité.

Les décisions d'autorisation Java EE , dont les vérifications d'autorisations de rôles et de droits d'accès sont définies à l'aide de l'identité Java EE . Grâce à un paramètre de configuration, la vérification des autorisations de rôles peut être déléguée au gestionnaire de sécurité du système d'exploitation sous-jacent (comme SAF, System Authorization Facility), auquel cas l'identité du système d'exploitation associée est utilisée dans la décision d'autorisation de rôle.

Certains gestionnaires de ressources sur z/OS utilisent l'identité d'unité d'exécution pour prendre des décisions d'autorisation. Par exemple, le contrôle d'accès au système de fichiers est entièrement déterminé en fonction de l'identité d'unité d'exécution du système d'exploitation actuellement dans le bloc de contrôle d'unité d'exécution au moment de l'accès au fichier. De la même façon, les connexions JDBC locales (Java database connectivity) à DB2 for z/OS utilisent l'identité d'unité d'exécution du système d'exploitation du bloc de contrôle comme identité d'autorisation dans certaines configurations. Pour les gestionnaires de ressources employant l'identité d'unité d'exécution du système d'exploitation comme DB2 for z/OS (contrairement au système de fichiers), à laquelle les applications accèdent via des connecteurs JMS ( Java Message Service), JDBC, ou JCA (Java EE Connector Architecture) gérés par le gestionnaire de connexions de WebSphere Application Server for z/OS , les connecteurs à ces gestionnaires de ressources z/OS utilisent la sécurité de l'unité d'exécution du système d'exploitation


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_understandj2eenativeid
Nom du fichier : csec_understandj2eenativeid.html