[z/OS]

Mapper un principal de registre à un ID utilisateur de System Authorization Facility à l'aide du module de connexion de Java Authentication and Authorization Services

Vous pouvez utiliser un module de connexion JAAS (Java™ Authentication and Authorization Services) pour mapper un principal de registre sur l'ID utilisateur SAF (System Authorization Facility).

Remarque : Si vous utilisez la fonction de mappage d'identité distribuée SAF il n'est pas nécessaire de configurer un module de mappage.

L'ensemble suivant d'attributs bien définis utilisés dans WebSphere Application Server est défini dans la classe com.ibm.wsspi.security.token.AttributeNameConstants qui est disponible dans le fichier sas.jar :

com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_USERID

Utilisez cet attribut pour définir la valeur de l'ID utilisateur MVS quand une opération effectuée nécessite un ID utilisateur z/OS SAF. En l'absence de valeur, WebSphere Application Server prend un utilisateur non authentifié pour établir un ID utilisateur SAF. Cet ID utilisateur SAF doit être un ID utilisateur MVS valide.

com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_AUDIT_STRING

Utilisez cet attribut pour indiquer que la chaîne spécifiée est placée dans la propriété X500Name lors de la création d'un ACEE (access control environment element) de RACF (Resource Access Control Facility).

Cet attribut associé une chaîne d'audit à un utilisateur SAF, qui est affiché dans un enregistrement SMF (System Management Facility) lors de l'accomplissement d'une des actions suivantes : Vous pouvez saisir jusqu'à 223 caractères dans ce champ. Si la valeur spécifiée est supérieure à 223 caractères, seuls les 223 premiers caractères sont utilisés. Si cette valeur est omise, les données d'audit ne sont pas ajoutées lors de la création d'un principal. Les données d'audit enregistrées dans cette zone sont précédées du préfixe de la chaîne d'audit SMF "WebSphere Mapped Userid".

com.ibm.wsspi.security.token.AttributeName.Constants.CALLER_PRINCIPAL_CLASS

Utilisez ce champ facultatif pour indiquer quelle classe principale d'un sujet JAAS est renvoyée lors de l'utilisation des API (application programming interfaces) getCallerPrincipal et getUserPrincipal.

Ce principal peut être créé selon l'un des mécanismes suivants :
  • L'exécution de WebSphere Application Server
  • Un module de connexion JAAS

La valeur par défaut de cette zone est com.ibm.websphere.security.auth.WSPrincipal. L'emploi de cette valeur par défaut renvoie le nom du principal WebSphere Application Server dans le registre configuré de WebSphere Application Server.

Pour renvoyer un principal SAF mappé, spécifiez com.ibm.ws.security.zos.Principal. En présence d'une valeur sans correspondance d'un principal avec la valeur CALLER_PRINCIPAL_CLASS spécifiée, la valeur renvoyée indique un utilisateur authentifié. La spécification de getUserInRole renvoie une valeur nulle et celle de getCallerPrincipal() renvoie une chaîne qui indique que l'utilisateur n'est pas authentifié.

Remarque : L'identité de certains réseaux n'est pas traitée au moyen du module de mappage fourni :
Identité de serveur
Cette identité, toujours mappée sur l'ID utilisateur du processus, est attribuée par le profil STARTED.
Identité SAF correspondant à l'utilisateur UNAUTHENTICATED
L'identité SAF correspondant à l'utilisateur UNAUTHENTICATED signifie qu'il n'y a pas d'identité réseau. Vous pouvez également configurer cette valeur à l'aide de l'outil de gestion des profils de WebSphere z/OS ou de la commande zpmt. Vous pouvez la modifier à l'aide de la console d'administration. Il vous est recommandé de créer l'identité SAF pour les utilisateurs non authentifiés avec l'attribut RESTRICTED.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_jaaslogmod
Nom du fichier : rsec_jaaslogmod.html