![[z/OS]](../images/ngzos.gif)
Registres d'utilisateurs SAF (System Authorization Facility)
Les registres d'utilisateurs SAF (System Authorization Facility) sont utilisés à différentes fins dans WebSphere Application Server for z/OS.
- Authentification à l'aide de l'authentification de base, l'assertion d'identité ou les certificats client
- Informations magasin sur les utilisateurs et les groupes
- Extraction d'informations sur les utilisateurs et les groupes pour exécuter des fonctions d'administration liées à la sécurité et notamment le mappage d'utilisateurs et de groupes à des rôles de sécurité
- Contrôle des accès aux ressources telles que les jeux de données, les commandes et les ports
A l'aide de l'implémentation de registres d'utilisateurs de système d'exploitation local ou non, le mécanisme d'authentification de WebSphere Application Server for z/OS peut utiliser les interfaces SAF. Ces interfaces sont définies par MVS pour autoriser les applications à utiliser les services d'autorisation ou les registres d'utilisateurs du système dans le but de contrôler l'accès aux ressources, telles que les ensembles de données et les commandes MVS. SAF traite directement les requêtes d'autorisation de sécurité ou passe par l'intermédiaire de RACF ou d'autres produits de sécurité. Un registre d'utilisateurs SAF de système d'exploitation local n'est pas un registre centralisé comme LDAP (Lightweight Directory Access Protocol), mais un registre centralisé dans un sysplex.
Avec WebSphere Application Server for z/OS, les registres d'utilisateurs SAF fournissent un certificat numérique aux mappages d'ID utilisateur à l'aide de la commande RACDCERT de RACF (Resource Access Control Facility). Pour plus d'informations sur la commande RACDCERT, reportez-vous au document z/OS Security Server RACF Command Language Reference correspondant à votre version z/OS sur le site z/OS Internet Library.
L'implémentation WebSphere Application Server for z/OS localOS User Registry (SAF User Registry) définit le nom de domaine du registre à partir du profil SAFDFLT dans la classe REALM lorsque le profil SAFDFLT est défini, que la classe REALM soit active ou non. Le nom de domaine est spécifié par la propriété APPLDATA dans le profil SAFDFLT. Si le nom de domaine ne peut pas être fourni par le produit de sécurité du système d'exploitation (tel que RACF), la valeur spécifiée par la propriété protocol_iiop_daemon_listenIPAddress est utilisée. Par exemple, la valeur de protocol_iiop_daemon_listenIPAddress est utilisée si la propriété APPLDATA ou le profil SAFDFLT n'est pas défini.


Pour des informations générales sur la sélection des registres d'utilisateurs, voir Sélection d'un registre ou d'un référentiel.