[z/OS]

Délégation de System Authorization Facility (SAF)

La délégation SAF réduit la nécessité de stocker les ID utilisateur et les mots de passe à des emplacements distincts dans la configuration.

WebSphere Application Server prend en charge la fonction de délégation. La délégation permet à une identité utilisateur d'être représentée en tant que rôle Java™ EE. Par exemple, vous pouvez établir qu'une application soit exécutée avec un rôle RunAs de RoleA. RoleA peut ensuite être mappé en tant que UserA. WebSphere Application Server établit ensuite le contexte d'identité en tant que UserA, et RoleA est défini dans le descripteur de déploiement. Dans cet arrangement, la délégation SAF utilise le rôle Java EE spécifié, RoleA, pour déterminer l'identité d'unité d'exécution, puis synchroniser le traitement avec l'ID utilisateur, UserA . UserA est spécifié dans la valeur APPLDATA du profil SAF EJBROLE de la commande RDEFINE RACF. Dans cet exemple, la commande REDEFINE serait la suivante :
RDEFINE EJBROLE rolea UACC(NONE) APPLDATA(usera) 

La délégation SAF nécessite que l'autorisation SAF soit activée. L'administrateur de la sécurité SAF serait responsable de l'affectation des utilisateurs au rôle. Pour la procédure de délégation SAF, voir Autorisation SAF (System Authorization Facility) z/OS.

Remarque : Si la délégation SAF est activée et que le mécanisme d'authentification activé est Kerberos, quand l'application demande le rôle "run-as", le sujet runAs créé sur le serveur ne contient pas les droits d'accès Kerberos. En conséquence, la requête est réacheminée vers LTPA.

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safdelegate
Nom du fichier : csec_safdelegate.html