[z/OS]

Remarques sur la sécurité à prendre en compte lors de l'utilisation des adaptateurs locaux optimisés avec IMS

Cette rubrique contient des remarques sur la sécurité à prendre en compte lors de l'utilisation des adaptateurs locaux optimisés avec IMS.

Les API d'adaptateurs locaux optimisés peuvent être utilisées dans les environnements de région IMS suivants :
  • MPR (MPP)
  • Fast Path (IFP)
  • Batch Message Processing (BMP)
  • Batch DL/I
La procédure d'enregistrement requiert que l'ID utilisateur sur l'unité d'exécution actuelle ou le bloc de contrôle dans la région dépendante soit autorisé ou dispose au moins d'un accès READ sur la classe SAF (System Authorization Facility) CBIND pour le serveur WebSphere Application Server. Un enregistrement est requis avant de pouvoir envoyer d'autres demandes vers WebSphere Application Server.

Il existe plusieurs méthodes pour associer l'identité de l'utilisateur à la tâche IMS et son bloc de contrôle. Pour BMP, l'ID utilisateur du travail correspond à l'identité qui requiert un accès à la classe CBIND. Pour IFP et MPP, il existe un autre moyen de définir l'ID utilisateur sur le bloc de contrôle. Si la macro SECURITY de l'environnement IMS indique SECLVL=(TRANAUTH,SIGNON), l'ID utilisateur fourni au moment de la connexion doit se trouver dans la base de données SAF locale et l'authentification SAF se produit. De plus, l'accès à la transaction est vérifiée à l'aide de SAF.

Lorsque l'exécution se fait à l'aide de ces options et que "Build Security Environment" est utilisé, l'exit DFSBSEX0 transmet un code retour 4 à IMS. IMS vérifie alors que le bloc de contrôle sous lequel la transaction est expédiée est synchronisé avec l'ID SAF qui a été authentifié.

L'ID de l'utilisateur de l'application requiert un accès READ à la classe CBIND SAF de WebSphere Application Server pour que l'appel de l'API Register des adaptateurs locaux optimisés aboutisse. Les transactions IMS initiées à partir des appelants à l'aide du protocole OTMA (Open Transaction Manager Access) utilisent le paramètre OTMASE pour déterminer si le contexte de sécurité de l'unité d'exécution/du bloc de contrôle en cours a été mis à jour. En affectant au paramètre OTMASE la valeur OTMASE=FULL, vous indiquez que l'identité envoyée par l'appel client OTMA est l'identité de l'unité d'exécution de MPP ou IFP. Dans ce scénario, l'ID client requiert un accès READ à la classe CBIND.

Lorsque le travail des transactions est transmis depuis IMS à WebSphere Application Server for z/OS, l'ID utilisateur est propagé dans le conteneur EJB de WebSphere Application Server, puis vérifié.

Lorsque les adaptateurs locaux optimisés sont utilisés pour appeler des transactions IMS existantes et non modifiées sur OTMA, l'identité du client WebSphere Application Server actuel peut être propagé vers les transactions IMS implémentées et vérifiées dans les régions MPR et IFP. Pour ce faire, vérifiez que le serveur WebSphere peut s'exécuter lorsque l'option SyncToOS Thread est activée. Pour en savoir plus sur l'activation de l'option SyncToOS Thread, voir la rubrique Options de sécurité de z/OS. Une fois l'option SyncToOS Thread activée, vérifiez que le paramètre OTMASE de l'environnement IMS cible est défini à F, FULL. Une fois ces options configurées, l'identité de l'utilisateur dans l'environnement WebSphere Application Server est propagé vers une région IMS MPP ou IFP puis vérifié. Ceci ne s'applique pas aux régions BMP (Batch Message Processing).

Eviter les incidents Eviter les incidents: Vous devez configurer un profil BBO.SYNC si vous utilisez SAF. Pour savoir comment configurer un profil BBO.SYNC, consultez la rubrique Classes et profils de SAF (System Authorization Facility).gotcha

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cdat_olasecurityimsconsid
Nom du fichier : cdat_olasecurityimsconsid.html