[z/OS]

Autorisation SAF (System Authorization Facility) z/OS

Cette page permet de configurer le système SAF (System Authorization Facility) et les propriétés de l'autorisation SAF.

Pour activer l'autorisation SAF :
  1. Cliquez sur Sécurité > Sécurité globale > Fournisseurs d'autorisations externes.
  2. Sélectionnez Autorisation SAF (System Authorization Facility) dans la liste déroulante.
  3. Cliquez sur le bouton Configurer.
Lorsque vous sélectionnez Autorisation SAF, WebSphere Application Server utilise la règle d'autorisation stockée dans le produit de sécurité z/OS pour l'autorisation. Si un registre LDAP (Lightweight Access Directory Protocol) ou personnalisé est configuré et que l'autorisation SAF est spécifiée, un mappage vers le principal z/OS est nécessaire à chaque connexion pour que les méthodes protégées soient exécutées :
  • Si le mécanisme d'authentification est LTPA (Lightweight Third Party Authentication), il est recommandé de mettre à jour toutes les entrées de configuration ci-dessous afin d'inclure un mappage vers un principal z/OS valide (comme WEB_INBOUND, RMI_INBOUND et DEFAULT).
  • Dans le cas d'un mécanisme d'authentification SWAM (Simple WebSphere Authentication Mechanism), vous devez mettre à jour l'entrée de configuration SWAM pour qu'elle comporte un mappage à un système z/OS principal valide.
    Remarque : La fonction SWAM est encore utilisée et sera supprimée dans une future édition.

Les propriétés usuelles d'utilisateur non authentifié, d'autorisation SAF et de suppression de message SAF EJBROLE ne font plus partie des propriétés personnalisées.

Lorsque vous sélectionnez cette option, WebSphere Application Server utilise la règle d'autorisation stockée dans le produit de sécurité z/OS pour autorisation.

ID utilisateur non authentifié

Indique l'ID utilisateur MVS utilisée pour représenter les demandes de servlets non protégées lorsque le mécanisme d'autorisation SAF est défini ou qu'un registre du système d'exploitation local est configuré. Cet ID utilisateur ne doit pas dépasser 8 caractères.

Cette définition de propriété est utilisée dans les cas suivants :
  • L'autorisation, si un servlet non protégé appelle un bean entity
  • L'identification d'un servlet non protégé pour l'appel d'un système CICS (Customer Information Control System) ou IMS (Information Management System) de connecteur z/OS qui utilise une identité en cours lorsque res-auth=container
  • Lors de l'exécution d'une fonction d'unité d'exécution de synchronisation avec le système d'exploitation lancée par une application.
Pour plus d'informations, consultez les articles suivants du centre de documentation :
  • "Présentation de l'application Synchronisation autorisée avec l'unité d'exécution du système"
  • "Utilisation de l'application Synchronisation autorisée avec l'unité d'exécution du système"

Associateur de profils SAF

Indique le nom d'un profil SAF EJBRole auquel un nom de rôle Java™ Platform, Enterprise Edition (Java EE) est associé. Le nom indiqué implémente l'interface com.ibm.websphere.security.SAFRoleMapper.

La classe d'implémentation com.ibm.ws.security.zOS.authz.SAFRoleMapperImpl, définie par défaut en tant qu'implémentation de l'associateur de rôles SAF, est initialement configurée. Cette configuration initiale mappe tous les caractères qui ne sont pas admis dans un nom de rôle SAF, tels que le pourcentage (%), la perluète (&), l'astérisque (*) et les caractères blancs, sur un signe dièse (#).

Pour plus d'informations, voir Développement d'un associateur de rôles EJB SAF personnalisé

Activer la délégation SAF

Spécifie que les définitions SAF EJBROLE reçoivent l'ID utilisateur MVS destiné à devenir l'identité active lors de la sélection du rôle RunAs spécifié.

Ne sélectionnez l'option Activer la délégation SAF que si vous avez sélectionné l'option Activer l'autorisation SAF comme fournisseur d'autorisations externe.

Utiliser le profil APPL pour restreindre l'accès au serveur d'applications

Utiliser le profil APPL pour restreindre l'accès au WebSphere Application Server.

Si vous avez défini un préfixe de profil SAF, le profil APPL utilisé est le préfixe de ce profil. Sinon, le nom du profil sera CBS390. Toutes les identités z/OS qui utilisent les services WebSphere doivent avoir le droit de lecture sur le profil APPL. Cela inclut toutes les identités WebSphere Application Server, WebSphere Application Server, les identités non authentifiées, les identités administratives WebSphere Application Server, les identités utilisateurs basées sur les mappages de rôle aux utilisateurs et toutes les identités des utilisateurs système. Si la classe APPL est inactive sur le système z/OS, cette propriété est sans effet quelque soit sa valeur.

Information valeur
Valeur par défaut Activé

Supprimer les messages d'échec d'autorisation du produit de sécurité z/OS

Indique si les messages ICH408I sont arrêtés ou démarrés. La valeur par défaut de ce paramètre est false (désélectionné), ce qui ne supprime pas les messages.

Quelle que soit la valeur de cette propriété, SMF (System Management Facility) enregistre les violations d'accès. Cette propriété affecte la génération de message de violation d'accès à la fois pour les rôles définis par l'application et pour ceux définis en phase d'exécution du serveur d'applications pour les sous-systèmes de désignation et d'administration. Des vérifications de profil EJBROLE sont effectuées pour les contrôles déclaratifs et par programmation :
  • Des contrôles déclaratifs sont codés en tant que contraintes de sécurité dans les applications Web et des descripteurs de déploiement, en tant que contraintes de sécurité dans les fichiers EJB (Enterprise JavaBeans).
  • Des contrôles logiques par programmation ou des contrôles d'accès sont effectués à l'aide d'isCallerinRole(x) pour les beans enterprise ou d'isUserInRole(x) pour les applications Web.
Eviter les incidents Eviter les incidents:
  • Si vous ne voulez pas que les messages du rôle d'administration soient supprimés lorsque la stratégie d'enregistrement d'audit SMF a la valeur Par défaut, affectez à la propriété com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin la valeur false. La valeur spécifiée pour cette propriété écrase tout autre paramètre qui gouverne la suppression des messages pour les rôles d'administration.
  • Lorsqu'un système d'autorisation tiers tel que Tivoli Access Manager ou SAF for z/OS est utilisé, les informations du panneau de la console d'administration peuvent ne pas représenter les données du fournisseur. De plus, toute modification apportée à ce panneau peut ne pas être prise en compte automatiquement. Suivez les instructions du fournisseur pour propager les éventuelles modifications apportées au fournisseur.
gotcha

Pour plus d'informations sur l'autorisation SAF, voir la section "Controlling access to console users when using a Local OS registry" du centre de documentation. Pour plus d'informations sur les rôles d'administration, voir la section "Administrative roles" du centre de documentation.

Information valeur
Valeur par défaut Désactivée, ce qui ne supprime pas les messages.

Stratégie d'enregistrement d'audit SMF

Détermine quand un enregistrement d'audit est écrit dans la fonction SMF (System Management Facility). A chaque appel d'autorisation, RACF, ou un produit basé SAF équivalent, peut écrire un enregistrement d'audit dans SMF avec le résultat de la vérification d'autorisation.

WebSphere Application Server for z/OS utilise les opérations SAF RACROUTE AUTH et RACROUTE FASTAUTH et transmet l'option LOG indiquée dans la configuration de sécurité. Les options sont DEFAULT, ASIS, NOFAIL et NONE.

La liste déroulante présente les options suivantes :
DEFAULT

Lorsque plusieurs contraintes de rôle sont précisées (par exemple, un utilisateur doit figurer dans l'un des ensembles de rôles), tous les rôles à l'exception du dernier sont vérifiés avec l'option NOFAIL. Si l'autorisation est accordée dans l'un des rôles avant le dernier, WebSphere Application Server écrit un enregistrement de réussite d'autorisation. Si l'autorisation n'aboutit pas dans ces rôles, le dernier rôle est vérifié avec l'option ASIS. Si l'utilisateur est autorisé pour le dernier rôle, un enregistrement de réussite peut être écrit. S'il n'est pas autorisé en revanche, un enregistrement d'échec peut être écrit.

ASIS
Indique que les événements d'audit sont enregistrés de la façon expliquée dans le profil qui protège la ressource, ou bien de celle décrite par les options SETROPTS.
NOFAIL
Indique que les échecs ne sont pas enregistrés. Les messages d'échec d'autorisation ne sont pas émis, mais des enregistrements d'audit d'autorisation réussie peuvent être écrits.
AUCUNE
Indique qu'aucune réussite et aucun échec ne sont enregistrés.

Un seul enregistrement d'échec d'autorisation est écrit pour l'échec de vérification d'une autorisation Java EE si plusieurs appels d'autorisation sont effectués. Pour plus d'informations sur les options LOG pour les appels SAF RACROUTE, voir la documentation du produit RACF ou SAF équivalente. Vous pouvez aussi voir la rubrique Prise en charge de l'audit pour obtenir des informations supplémentaires sur la vérifiabilité (ou capacité d'audit) SMF des appels de WebSphere Application Server ux macros RACROUTE et aux API SAF lors du traitement des autorisations de ressource.

Préfixe de profil SAF

Indique le préfixe à ajouter à tous les profils SAF EJBROLE utilisés pour les rôles Java EE. Ce préfixe est également utilisé en tant que nom de profil APPL et ajouté au nom de profil utilisé pour les vérifications CBIND. Il n'existe pas de valeur par défaut pour la zone Préfixe de profil SAF. Si aucun préfixe n'est spécifié, aucun préfixe n'est ajouté aux profils SAF EJBROLE ; la valeur par défaut CBS390 est utilisée en tant que nom de profil APPL et rien n'est ajouté au nom de profil pour les vérifications CBIND.

Utilisez le profil APPL pour restreindre l'accès à WebSphere Application Server

Si vous avez défini un préfixe de profil SAF, le profil APPL utilisé est le préfixe de ce profil. Sinon, le nom du profil sera CBS390. Toutes les identités z/OS qui utilisent les services WebSphere doivent avoir le droit de lecture sur le profil APPL. Cela inclut toutes les identités WebSphere Application Server, WebSphere Application Server, les identités non authentifiées, les identités administratives WebSphere Application Server, les identités utilisateurs basées sur les mappages de rôle aux utilisateurs et toutes les identités des utilisateurs système. Notez que, si la classe APPL est inactive sur le système z/OS, cette propriété est sans effet quelque soit sa valeur.

Remarque : Le préfixe du profil SAF correspond à la propriété com.ibm.security.SAF.profilePrefix.name du fichier security.xml.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_safpropszos
Nom du fichier : usec_safpropszos.html