[z/OS]

System Authorization Facility (SAF) のオペレーティング・システムおよびアプリケーション・レベルに関する考慮事項

オペレーティング・システム およびアプリケーション・レベルに対する System Authorization Facility (SAF) 許可を使用可能にする場合は、 考慮すべきことがいくつかあります。

WebSphere® Application Server for z/OS® では、2 つの異なるレベルで許可が行われます。
  • リソースは、オペレーティング・システム・レベルで保護することができます。 プログラムが保護リソースにアクセスする場合、リソース・マネージャーは SAF への呼び出しを使用して、セキュリティー・マネージャー (通常は RACF®) に許可検査を実行させます。
  • リソースは、アプリケーション・レベルで保護することができます。Java™ Platform, Enterprise Edition (Java EE) アプリケーションにセキュリティー制約がある場合、コンテナーは SAF 呼び出しを使用して、セキュリティー・マネージャー (RACF) に許可検査を実行させます。

SAF 許可が使用可能な場合、許可はどのレベルでも常に、オペレーティング・システムのセキュリティー・マネージャー (RACF または同等の製品) によって実行されます。したがって、ユーザーは、セキュリティー・マネージャー (RACF) ユーザー ID で認証済みである必要があります。詳しくは、制御の要約を参照してください。

システムのカスタマイズ中に SAF 許可が選択された場合、すべての管理ロールの管理 EJBROLE プロファイルは、z/OS プロファイル管理ツールまたは zpmt コマンドを使用して生成された RACF ジョブにより定義されます。 すべてのユーザー・レジストリーに対する許可メカニズムとして、 SAF 許可 (SAF EJBROLE プロファイルを使用した SAF ユーザーおよびグループのロールへの割り当て) を使用できます。 SAF 許可が管理コンソールで選択された場合は、他のすべての許可の選択項目 (Tivoli® Access Manager 許可など) に優先します。

ローカル・オペレーティング・システムを選択しない場合、2 つのオプションのうちいずれかを使用して、分散 ID を SAF ユーザー ID にマップする必要があります。Java 認証・承認サービス (JAAS) ログイン・モジュールを構成およびインストールして、マッピングを実行できます。または WebSphere Application Server バージョン 8.0 で、SAF 分散 ID マッピング機能を使用できます。

SAF 許可は、非ローカル・オペレーティング・システム・レジストリーに対してもサポートされていることに注意してください。 SAF をオンにした場合は、これはデフォルトのプロバイダーになります (ネーミングおよび 管理関数を処理します)。SAF を使用可能にすると、これはネイティブ許可プロバイダーになります。

詳しくは、レジストリーまたはリポジトリーの選択を参照してください。

SAF 許可が有効な場合は、SAF EJBROLE プロファイルを使用して、Java EE ロールを実行します (プロファイル名はアプリケーションのロール名です)。 さらに、SAF プロファイル・プレフィックスを 8 文字以下の文字列で定義できます。これは各 SAF EJBROLE プロファイル名の先頭に付加されます。詳しくは、次の記述を参照してください。
SAF 許可が使用可能な場合、「全員」および「全認証者」設定が無視されることに注意してください。 これらの属性は、RACF で管理されています。「全員」および「全認証者」が有効な場合、これらの設定は WebSphere 許可で使用することを想定しています。
全員
SAF 許可が使用可能な場合は、SAF はユーザー認証を使用して Web アプリケーションへのアクセスを実施します。設定に「全員」を選択する場合、レジストリーで定義されているすべてのユーザーが Web アプリケーションにサインオンでき、サブジェクトまたはプリンシパルが認証されます。

WebSphere Application Server for z/OS はデフォルトの (非認証) ユーザー ID を使用し、RESTRICTED 属性で定義された ACCESS(READ) アクセスを検査する ACEE を使用します。 したがって、汎用アクセス権限 (UACC) は適用されません。SAF が ejbroles に対して認証を実施しないときに、すべてのユーザーが特定のロールにアクセスできるようにする場合、非認証状態で要求を実行できるようにするために、デフォルト (非認証) ユーザー ID ACCESS( READ) アクセスを付与する必要があります。デフォルト・ユーザー ID ACCESS( READ) アクセスを付与しない場合、RACF は、非認証要求に false を返します。.

全認証者
ユーザー・レジストリーで任意の名前を許可して、Web アプリケーションにサインオンすることができます (すべてのユーザー名は、サインオンの際に認証されます)。アクセスするプロファイル上で UACC(READ) を定義する 必要があります。デフォルトのユーザー ID に対して RACF PERMIT コマンドを発行しないでください。
注: 汎用アクセス権限は、RESTRICTED 属性で定義されたユーザーには適用されません。 例えば、WebSphere 非認証 ID に EJBROLE への READ アクセスを持たせる場合には、UACC 設定にかかわらず、id READ 許可を明示的に付与する必要があります。

ローカル OS レジストリーを使用している場合、コンソール・ユーザーへのアクセスを制御できます。

将来、SAF 許可をオンにする場合は、これらの RACF コマンドを実行して、適切な WebSphere Application Server 操作を使用できるようにする必要があります。 (別の非認証のユーザー ID を選択した場合、構成済みのデフォルトのユーザー ID の値を変更します。)


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safauthz
ファイル名:csec_safauthz.html