![[z/OS]](../images/ngzos.gif)
Mécanisme SAF pour l'autorisation administrative à granularité fine
Lorsque la sécurité administrative à granularité fine est utilisée, les ressources d'administration sont partitionnées sur plusieurs groupes d'autorisation. Chaque groupe d'autorisation contient sa propre table d'autorisations qui représente le mappage entre un utilisateur et un rôle d'administrateur pour ce groupe d'autorisation.
Le même ensemble de rôles d'administration est disponible pour tous les groupes d'autorisation. Toutefois, les utilisateurs mappés vers les rôles d'administration peuvent varier. Il existe toujours des rôles d'administration au niveau de la cellule qui représentent l'accès à toutes les ressources contenues dans la cellule.
Lorsque la fonction RACF (Resource Access Control Facility) ou le mécanisme SAF (System Authorization Facility) est utilisé pour configurer le mappage entre un utilisateur et un rôle, un profil EJBROLE doit être défini pour chaque rôle dans chaque groupe d'autorisations, ainsi que les profils EJBROLE définis précédemment pour les rôles administrateur au niveau de la cellule. Six profils sont définis dans la classe RACF EJBROLE pour l'autorisation administrative. Il s'agit des profils administrateur, configurateur, moniteur, opérateur, déployeur et adminsecuritymanager.
Les groupes d'autorisation peuvent être créés à l'aide de l'outil de configuration (wsadmin) de WebSphere Application Server. Une fois qu'un groupe d'autorisation a été créé, le mappage entre un utilisateur et un rôle au sein de ce groupe peut s'effectuer par le biais de l'outil wsadmin. Toutefois, lorsque la fonction RACF est utilisée pour stocker le mappage entre l'utilisateur et un rôle d'administration, l'administrateur RACF doit exécuter des tâches supplémentaires pour effectuer le mappage. Un profil EJBROLE doit en effet être défini pour chaque rôle d'administration contenu dans le groupe d'autorisation nouvellement créé. Des droits d'accès aux nouveaux profils EJBROLE doivent être octroyés aux utilisateurs.
Groupe | Mappage utilisateur-rôle | Mappage utilisateur-rôle | Mappage utilisateur-rôle | Mappage utilisateur-rôle | Mappage utilisateur-rôle | Mappage utilisateur-rôle |
---|---|---|---|---|---|---|
groupe1 | administrator=utilisateur1 | configurateur | opérateur | monitor | deployer=utilisateur3 | adminsecuritymanager |
groupe2 | administrator=utilisateur2 | configurateur | operator=utilisateur4 | monitor | déployeur | adminsecuritymanager |
/* activate EJBROLE class */
SETROPTS CLASSACT(EJBROLE)
/* Defining EJBROLE profiles for admin roles in group1 and group2 */
/* define the roles in RACF for group1 */
RDEFINE EJBROLE domainName.group1.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group1.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group1.operator UACC(NONE)
RDEFINE EJBROLE domainName.group1.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group1.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group1.adminsecuritymanager UACC(NONE)
/* define the roles in RACF for group2 */
RDEFINE EJBROLE domainName.group2.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group2.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group2.operator UACC(NONE)
RDEFINE EJBROLE domainName.group2.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group2.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group2.adminsecuritymanager UACC(NONE)
/* Mapping users to roles in group1 and group2 */
/* map user1 to administrator role in group1 */
PERMIT domainName.group1.administrator CLASS(EJBROLE) ID(USER1) ACCESS(READ)
/* map user3 to deployer role in group1 */
PERMIT domainName.group1.deployer CLASS(EJBROLE) ID(USER3) ACCESS(READ)
/* map user2 to administrator role in group2 */
PERMIT domainName.group2.administrator CLASS(EJBROLE) ID(USER2) ACCESS(READ)
/* map user4 to operator role in group2 */
PERMIT domainName.group2.operator CLASS(EJBROLE) ID(USER4) ACCESS(READ)
/* refresh the EJBROLE class in RACF */
SETROPTS RACLIST(EJBROLE) REFRESH"
où domainName représente le domaine de sécurité de la cellule WebSphere Application Server.
Sachez que le profil EJBROLE pour tous les rôles contenus dans chaque groupe d'autorisation doit être créé, indépendamment du fait qu'un utilisateur soit ou non mappé vers ce rôle.