![[z/OS]](../images/ngzos.gif)
Sécurité du système d'exploitation et identité RunAs activée par le gestionnaire de connexions
WebSphere Application Server inclut des configurations de connecteur utilisant la sécurité de l'unité d'exécution du système d'exploitation. En activant la prise en charge de la synchronisation avec l'unité d'exécution du système par le gestionnaire de connexions, l'identité Java™ EE (RunAs , par exemple) peut permettre d'établir une connexion EIS pour les configurations de connecteur employant la sécurité de l'unité d'exécution du système d'exploitation.
Sécurité de l'unité d'exécution du système d'exploitation : dans certaines configurations de l'architecture Java EE Connector (JCA), du service Java Message Service (JMS), ou de connecteurs JDBC (Java database connectivity) dans WebSphere Application Server for z/OS, l'identité d'unité d'exécution du système d'exploitation est celle employée pour établir la connexion EIS (Enterprise Information Systems). Pour plus d'informations sur les configurations prenant en charge la sécurité des unités d'exécution du système d'exploitation, voir "Unité d'exécution de connexion".
La prise en charge de la synchronisation avec l'unité d'exécution du système par le gestionnaire de connexions est activée en sélectionnant l'option Activer l'identité d'unité d'exécution RunAs du gestionnaire des connexions, disponible en cliquant sur Sécurité > Sécurité globale > Options de sécurité z/OS. Si l'option Activer WebSphere Application Server et la synchronisation d'identité d'unité d'exécution z/OS ne sont pas activées dans le même panneau de la console d'administration, la connexion à un gestionnaire de ressources sous une configuration de connecteur utilisant la sécurité de l'unité d'exécution du système d'exploitation est établie à l'aide de l'identité du serveur (par défaut dans ce cas). Pour plus d'informations, reportez-vous aux options de sécurité de z/OS.
Le gestionnaire de connexions de WebSphere exécute des fonctions liées à la sécurité de l'unité d'exécution du système d'exploitation. Il synchronise l'identité d'unité d'exécution du système d'exploitation avec l'identité d'unité d'exécution Java (cette identité d'unité d'exécution Java correspond à l'identité Java EE ) avant d'établir une connexion EIS. Pour plus d'informations, reportez-vous aux rubriques relatives à l'identité des unités d'exécution Java et à l'identité des unités d'exécution du système d'exploitation. Une fois que le gestionnaire de connexions a effectué la synchronisation, l'identité d'unité d'exécution du système d'exploitation est temporairement remplacée par l'identité d'unité d'exécution Java et l'identité d'unité d'exécution Java est utilisée pour établir la connexion EIS. Par conséquent, la prise en charge de la synchronisation avec l'unité d'exécution du système d'exploitation par le gestionnaire de connexions permet d'établir une connexions EIS à l'aide de l'identité d'unité d'exécution Java (RunAs par exemple ). Une fois la connexion établie, le gestionnaire de connexions restaure l'identité d'unité d'exécution du système d'exploitation antérieure.
- L'application Synchronisation autorisée avec l'unité d'exécution du système n'est pas pertinente pour déterminer l'identité servant à établir une connexion dans une configuration de connecteur qui prend en charge la sécurité de l'unité d'exécution du système d'exploitation. La rubrique "Utilisation du support d'identité d'unité d'exécution" explique quelle identité permet d'établir une connexion dans laquelle la configuration n'est pas modifiée par la prise en charge de l'application Synchronisation autorisée avec l'unité d'exécution du système. Notamment, pour les configurations de connecteur utilisant la sécurité de l'unité d'exécution du système d'exploitation (mais avec la synchronisation avec l'unité d'exécution du système par le gestionnaire de connexions désactivée), l'identité du serveur est employée pour établir la connexion, quelle que soit l'application Synchronisation autorisée avec l'unité d'exécution du système ou l'identité RunAs en cours.
- La prise en charge de la synchronisation avec l'unité d'exécution du système par le gestionnaire de connexions est uniquement pertinente pour établir des connexions EIS gérées par le gestionnaire de connexions de WebSphere. Par exemple, la prise en charge de la synchronisation avec l'unité d'exécution du système d'exploitation peut être pertinente pour des connexions JDBC (Java database connectivity) établies à partir de demandes d'applications sur des objets DataSource configurés via la console d'administration de WebSphere Application Server, puis recherchées dans l'interface JNDI (Java Naming and Directory Interface). Tout dépend si une instance DataSource spécifique se trouve sous un fournisseur JDBC déterminé employé par la sécurité de l'unité d'exécution du système d'exploitation. Toutefois, la prise en charge de la synchronisation avec l'unité d'exécution du système par le gestionnaire de connexions ne serait pas pertinente pour des connexions JDBC établies à l'aide de l'API DriverManager.getConnection(...) non gérée. L'accès à ces ressources non gérées, pour lesquelles l'autorisation est effectuée par rapport à l'identité d'unité d'exécution du système d'exploitation, peut éventuellement être affecté par l'application Synchronisation autorisée avec l'unité d'exécution du système.
- La prise en charge de la synchronisation avec l'unité d'exécution du système par le gestionnaire de connexions est éventuellement utilisée pour des demandes de connexion faites par du code écrit par l'utilisateur (comme des appels JMS ou JDBC émis par un bean session sans état), par certains composants de WebSphere Application Server (comme le module d'écoute de beans gérés par message, ou MDB), ou encore par du code généré par des outils (comme des beans à persistance gérés par conteneur, ou CMP).
- Certaines (mais pas toutes) configurations de connecteurs utilisant l'identité Java EE utilisent aussi la sécurité de l'unité d'exécution du système d'exploitation. Les configurations de connecteurs comme le connecteur CTG CICS (Customer Information Control System) en mode local, permettent d'utiliser l'identité Java EE avec un autre mécanisme de gestionnaire de connexions afin d'établir une connexion EIS. Cette configuration n'utilise pas la sécurité de l'unité d'exécution du système d'exploitation.
Voir la rubrique Identité de l'unité d'exécution de connexion pour plus d'informations sur les configurations de connecteur qui utilisent la sécurité de l'unité d'exécution du système d'exploitation. Voir aussi la rubrique "Utilisation du support d'identité d'unité d'exécution".
Pour plus d'informations sur ces identités, reportez-vous aux rubriques relatives à l'identité des unités d'exécution Java Platform Enterprise Edition et à l'identité des unités d'exécution du système d'exploitation.