[z/OS]

Sécurisation des adaptateurs locaux optimisés pour la prise en charge des appels en entrée

Cette tâche permet de configurer la sécurité des connexions des adaptateurs locaux optimisés qui effectuent des appels en entrée.

Avant de commencer

Exécutez les serveurs WebSphere Application Server for z/OS avec la sécurité globale et activez l'option d'unité d'exécution synchronisée avec le système d'exploitation si vous comptez utiliser les API d'adaptateurs locaux optimisés avec ces serveurs. Pour en savoir plus sur la sécurité globale, voir la rubrique Activation de la sécurité. Pour en savoir plus sur l'activation de l'option d'unité d'exécution synchronisée avec le système d'exploitation, voir la rubrique "Options de sécurité de z/OS".

L'accès local aux serveurs WebSphere Application Server for z/OS est protégé par la classe CBIND SAF (System Authorization Facility). Cette classe est définie pendant la création du profil et est utilisée pour protéger les serveurs WebSphere Application Server for z/OS quand les demandes de connexion client locales IIOP (Internet Inter-ORB Protocol) sont effectuées et pour les requêtes des adaptateurs locaux optimisés. Avant l'exécution de toute application qui utilise l'API Register, assurez-vous que l'accès en mode lecture est accordé à l'ID utilisateur pour le travail, ainsi que le processus USS (UNIX System Services) ou la région CICS (Customer Information Control System) à la classe CBIND pour le serveur cible. La configuration est réalisée par le travail BBOCBRAK. Pour plus d'informations sur la classe CBIND, lisez la rubrique Utilisation de CBIND pour contrôler l'accès aux clusters.

Toutes les demandes entrantes parvenant à WebSphere Application Server s'exécutent avec les droits d'accès de l'utilisateur courant de l'unité d'exécution. Cette identité est automatiquement propagée et affirmée par assertion dans le conteneur EJB (Enterprise JavaBeans), et c'est sous cette identité que l'application s'exécute. Les demandes entrantes acheminées dans un bean enterprise cible arrivent de la même manière que les appels de méthode pour les demandes IIOP locales et les options de sécurité RunAs fonctionnent de la même façon que les requêtes IIOP locales.

Lorsqu'un travail de transaction circule entre CICS et WebSphere Application Server for z/OS, que ce soit dans un sens ou dans l'autre, vous devez prendre en considération certains points concernant la sécurité. Par exemple, vous devez déterminer si l'authentification d'un travail soumis à l'entrée de WebSphere Application Server doit se faire avec l'autorité de l'application CICS spécifique ou avec celle de toute la région CICS. Les mêmes questions se posent lorsque WebSphere Application Server soumet un travail à une application CICS ; vous devez déterminer si CICS doit respecter l'autorité de l'application d'origine ou son propre profil de sécurité CICS en cours.
Avertissement : Vous devez vous assurer que les applications client sont authentifiées afin que CICS traite la demande.

Pour les demandes transmises de CICS à WebSphere Application Server, vous pouvez indiquer que vous souhaitez utiliser l'identité de l'application CICS courante en configurant un indicateur dans ce but avec l'appel d'API Register.

Pourquoi et quand exécuter cette tâche

Les étapes suivantes comprennent les tâches que vous devez effectuer pour sécuriser les adaptateurs locaux optimisés pour un appel entrant :

Procédure

Configurez les paramètres de sécurité. Le type de propagation d'identité de sécurité est spécifié dans les indicateurs de l'enregistrement quand la demande de connexion des adaptateurs locaux optimisés est faite dans l'appel à BBOA1REG. Vous pouvez sélectionner soit la région CICS, soit le profil de sécurité de l'application.
Avertissement : Pour un fonctionnement correct, vous devez activer la sécurité au niveau de l'application CICS avec l'option de lancement de CICS SEC=YES.
De plus, l'utilisateur de l'application CICS ne peut être propagé et affirmé par assertion sur l'unité d'exécution de WebSphere Application Server que si la variable d'environnement ola_cicsuser_identity_propagate est réglée à 1. Cela permet au programmeur système de WebSphere Application Server de gérer ce comportement. Lorsque cette option est réglée à 0 (valeur par défaut) et que l'API Register appelle des applications CICS qui sélectionnent la propagation au niveau de l'application, une erreur se produit. Pour plus d'informations sur cette variable d'environnement, voir la rubrique "Variables d'environnement des adaptateurs locaux optimisés".

Définissez la variable d'environnement de manière à pouvoir utiliser les identités au niveau des applications CICS pour l'authentification lors de la demande d'enregistrement. Vous pouvez définir la variable dans la console d'administration de la manière suivante :

  1. Cliquez sur Environnement > Variables WebSphere.
  2. Sous Portée, sélectionnez Cellule dans la liste déroulante Afficher la sélection de portée. Si la variable d'environnement ola_cicsuser_identity_propagate s'affiche dans la liste des ressources, il n'est pas nécessaire de l'ajouter à nouveau. Vous pouvez passer à l'étape c. Si vous n'avez pas ajouté la variable dans la liste de ressources, vous devez cliquer sur Ajouter. La variable d'environnement ola_cicsuser_identity_propagate doit être ajoutée à la liste d'affichage la première fois que vous effectuez cette tâche. Après l'ajout initial, vous pouvez sélectionner à chaque fois ola_cicsuser_identity_propagate dans la liste d'affichage après avoir défini la portée.
  3. Cliquez sur ola_cicsuser_identity_propagate. Une fenêtre affiche les Propriétés générales où vous pouvez configurer la variable.
  4. Réglez à 1 la variable d'environnement de WebSphere Application Server. Si vous la réglez à 0 ou la laissez indéfinie, la sécurité de niveau application de CICS n'est pas respectée dans un appel en entrée de WebSphere Application Server.
  5. Cliquez sur Valider et OK.

Résultats

Vous avez défini la sécurité des connexions en entrée des adaptateurs locaux optimisés.

Que faire ensuite

Pour plus d'informations sur l'utilisation de la sécurité avec IMS, reportez-vous aux "Remarques sur la sécurité et l'utilisation d'adaptateurs locaux optimisés avec IMS".

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_security_in
Nom du fichier : tdat_security_in.html