![[z/OS]](../images/ngzos.gif)
Remarque SAF (System Authorization Facility) pour le système d'exploitation et les niveaux d'application
Seuls quelques points sont à prendre en compte lors de l'activation du mécanisme d'autorisation SAF (System Authorization Facility) au niveau du système d'exploitation et des applications.
- Les ressources peuvent être protégées au niveau du système d'exploitation. Si un programme accède à une ressource protégée, le gestionnaire de ressources utilise un appel à SAF (System Authorization Facility) pour laisser au gestionnaire de sécurité, généralement RACF, le soin de contrôler les autorisations.
- Les ressources peuvent être protégées au niveau de l'application. Si une application Java™ Platform, Enterprise Edition (Java EE) fait l'objet d'une contrainte de sécurité, le conteneur utilise un appel SAF pour que le gestionnaire de sécurité (RACF) puisse effectuer le contrôle des autorisations.
Lorsque l'autorisation SAF est activée, quel que soit le niveau, l'autorisation est toujours effectuée par le gestionnaire de sécurité du système d'exploitation (RACF ou un produit équivalent). Par conséquent, il est primordial que les utilisateurs soient authentifiés à l'aide d'un ID utilisateur du gestionnaire de sécurité (RACF). Pour plus d'informations, voir Récapitulatif des contrôles.
Lorsque le mécanisme d'autorisation SAF est sélectionné pendant la personnalisation des systèmes, les profils EJBROLE d'administration de tous les rôles d'administration sont définis par les travaux RACF générés à l'aide de l'outil de gestion des profils z/OS ou de la commande zpmt. Le mécanisme d'autorisation SAF (utilisation des profils SAF EJBROLE pour affecter des utilisateurs et des groupes à des rôles) peut être utilisé comme mécanisme d'autorisation de tous les registres d'utilisateurs. Si le mécanisme d'autorisation SAF est sélectionné dans la console d'administration, il a priorité sur tous les autres mécanismes d'autorisation (tels que le mécanisme d'autorisation Tivoli Access Manager).
Si vous ne sélectionnez pas le système d'exploitation local, vous devez mapper l'identité répartie vers un ID utilisateur SAF à l'aide de l'une des deux options disponibles. Vous pouvez configurer et installer un module de connexion JAAS (Java Authentication and Authorization Service) pour effectuer le mappage, sinon, dans WebSphere Application Server version 8.0, vous pouvez utiliser la fonction de mappage d'identité répartie SAF.
Le mécanisme d'autorisation SAF est également pris en charge pour les registres d'utilisateurs des systèmes d'exploitation non locaux. Si vous activez SAF, il devient le fournisseur par défaut (et gère les fonctions d'administration et de nommage). Activez SAF ; il devient le fournisseur d'autorisation natif.
Pour plus d'informations, voir Sélection d'un registre ou d'un référentiel.
- Tous les utilisateurs
- Lorsque l'autorisation SAF est activée, la fonction d'autorisation système (SAF) utilise l'authentification utilisateur pour permettre l'accès aux applications Web. Si vous sélectionnez le paramètre Tout le monde, tout utilisateur défini dans le registre peut se connecter à l'application Web, et les sujets ou principaux sont authentifiés.
WebSphere Application Server for z/OS utilise l'ID utilisateur (non authentifié) par défaut et un élément ACEE vérifie l'accès ACCESS( READ) défini avec l'attribut RESTRICTED. Par conséquent, l'autorité UACC ne s'applique pas. Si, lorsque SAF n'applique pas l'authentification aux rôles ejb, vous voulez que tout le monde puisse accéder à un rôle particulier, vous devez accorder l'accès ACCESS( READ) de l'ID utilisateur (non authentifié) par défaut afin de permettre l'exécution d'une demande en mode non authentifié. Si vous n'accordez pas l'accès ACCESS( READ) de l'ID utilisateur par défaut, RACF renvoie la valeur false à une demande non authentifiée. .
- Tous les utilisateurs authentifiés
- Vous pouvez autoriser tout nom du registre d'utilisateurs à se connecter à l'application Web (Tous les noms d'utilisateur sont authentifiés à la connexion).
Vous devez définir
UACC(READ) sur le profil auquel l'utilisateur accède et ne pas exécuter la commande PERMIT de
RACF pour l'ID
utilisateur par défaut. Remarque : L'autorité UACC (universal access authority) ne concerne pas les utilisateurs définis via l'attribut RESTRICTED. Par exemple, si vous voulez qu'une identité WebSphere non authentifiée dispose d'un droit de lecture (READ) sur un EJBROLE, vous devez accorder ce droit à l'ID correspondant de manière explicite, quelle que soit la valeur du paramètre UACC.
Si vous utilisez un registre de système d'exploitation local, vous pouvez contrôler l'accès aux utilisateurs de la console.
Si vous décidez d'activer ultérieurement le mécanisme d'autorisation SAF, vous devez entrer ces commandes RACFpour assurer le bon fonctionnement de WebSphere Application Server. (Modifiez la valeur de l'ID utilisateur par défaut configuré si vous avez choisi un autre ID utilisateur authentifié.)