![[z/OS]](../images/ngzos.gif)
Délégation de System Authorization Facility (SAF)
La délégation SAF réduit la nécessité de stocker les ID utilisateur et les mots de passe à des emplacements distincts dans la configuration.
WebSphere Application Server prend en charge la fonction de délégation. La délégation permet à une identité utilisateur
d'être représentée en tant que rôle Java™ EE. Par exemple,
vous pouvez établir qu'une application soit exécutée avec un rôle RunAs de RoleA. RoleA peut
ensuite être mappé en tant que UserA. WebSphere Application Server établit
ensuite le contexte d'identité en tant que UserA, et RoleA est défini
dans le descripteur de déploiement. Dans cet arrangement, la délégation SAF
utilise le rôle Java EE spécifié, RoleA, pour déterminer
l'identité d'unité d'exécution, puis synchroniser le traitement avec l'ID utilisateur, UserA . UserA est
spécifié dans la valeur APPLDATA du profil SAF EJBROLE de la commande RDEFINE RACF.
Dans cet exemple, la commande REDEFINE
serait la suivante :
RDEFINE EJBROLE rolea UACC(NONE) APPLDATA(usera)
La délégation SAF nécessite que l'autorisation SAF soit activée. L'administrateur de la sécurité SAF serait responsable de l'affectation des utilisateurs au rôle. Pour la procédure de délégation SAF, voir Autorisation SAF (System Authorization Facility) z/OS.
Remarque : Si la délégation SAF est activée et que le mécanisme d'authentification activé est
Kerberos, quand l'application demande le rôle "run-as", le sujet runAs créé sur le serveur ne contient pas les droits d'accès Kerberos.
En conséquence, la requête est réacheminée vers LTPA.