![[z/OS]](../images/ngzos.gif)
z/OS System Authorization Facility 許可
このページを使用して、System Authorization Facility (SAF) および SAF 許可プロパティーを構成します。
- をクリックします。
- 「許可プロバイダー」のドロップダウン・リストから「System Authorization Facility (SAF)」を選択します。
- 「構成」ボタンをクリックします。
- 認証メカニズムが Lightweight Third Party Authentication (LTPA) である場合は、 以下の構成エントリーをすべて更新して、有効な z/OS プリンシパル (WEB_INBOUND、RMI_INBOUND、 DEFAULT など) にマッピングを組み込むことをお勧めします。
- 認証メカニズムが Simple WebSphere Authentication Mechanism (SWAM) である場合は、SWAM 構成エントリーを更新して、有効な z/OS プリンシパルへのマッピングを組み込む必要があります。注: SWAM は推奨されておらず、将来のリリースでは除去される予定です。
非認証ユーザー、SAF 許可、および SAF EJBROLE メッセージ抑止に共通のプロパティーは、 カスタム・プロパティーではなくなりました。
このオプションを選択すると、WebSphere Application Server は、z/OS セキュリティー製品に保管されている許可ポリシーを使用して許可を付与します。
非認証ユーザー ID
SAF 許可の指定時またはローカル・オペレーティング・システム・レジストリーの構成時に、無保護サーブレット要求を表すために使用される MVS™ ユーザー ID を指定します。 このユーザー ID は、最大で 8 文字の長さである必要があります。
- 無保護サーブレットがエンティティー Bean を呼び出す場合の許可。
- res-auth=container の場合に現在の ID を使用する z/OS コネクター (Customer Information Control System (CICS®)、Information Management System (IMS™) など) を呼び出すための、無保護サーブレットの識別。
- アプリケーション主導の Synch to OS Thread 機能が試行される場合。
- 「application Synch to OS Thread Allowed」の理解
- 「application Synch to OS Thread Allowed」を使用する時期
SAF プロファイル・マッパー
Java™ Platform, Enterprise Edition (Java EE) ロール名のマップ先の SAF EJBRole プロファイルの名前を指定します。 指定した名前により、com.ibm.websphere.security.SAFRoleMapper インターフェースが実装されます。
デフォルトの SAF ロール・マッパーの実装である com.ibm.ws.security.zOS.authz.SAFRoleMapperImpl 実装クラスが初期構成されています。この初期構成は、SAF ロール名で許可されていないすべての文字 (パーセント (%)、アンパーサンド (&)、アスタリスク (*) およびブランク文字など) をポンド (#) 文字にマップします。
詳しくは、カスタム SAF EJB ロール・マッパーの開発を参照してください。
SAF 代行を使用可能にする
RunAs 指定のロールを選択した場合に、SAF EJBROLE 定義にアクティブ ID になる MVS ユーザー ID が割り当てられることを指定します。
「SAF 代行を使用可能にする」オプションは、外部許可プロバイダーとして「SAF 許可を使用可能にする」オプションを選択する場合にのみ選択してください。
APPL プロファイルを使用してアプリケーション・サーバーへのアクセスを制限する
APPL プロファイルを使用して WebSphere Application Server へのアクセスを制限する
SAF プロファイル・プレフィックスが定義されている場合は、使用している APPL プロファイルがプロファイル・プレフィックスになります。それ以外の場合、APPL プロファイル名は CBS390 です。 WebSphere サービスを使用するすべての z/OS ID に、APPL プロファイルの読み取り権限が必要です。これには、すべての WebSphere Application Server ID、WebSphere Application Server 非認証 ID、WebSphere Application Server 管理 ID、ロールからユーザーへのマッピングに基づいたユーザー ID、およびシステム・ユーザーに対するすべてのユーザー ID が含まれます。 APPL クラスが z/OS システム上でアクティブな状態でない場合、その値に関係なく、このプロパティーによる影響はありません。
通知 | 値 |
---|---|
デフォルト: | 使用可能。 |
z/OS セキュリティー製品からの許可失敗メッセージを抑制する
ICH408I メッセージをオンにするかオフにするかを指定します。この設定のデフォルト値は false (未チェック) です。この場合、メッセージは抑止されません。
- 宣言検査は Web アプリケーションでセキュリティー制約としてコード化され、 デプロイメント記述子は Enterprise JavaBeans (EJB) ファイルでセキュリティー制約としてコード化されます。
- プログラム・ロジック検査またはアクセス検査は、エンタープライズ Bean の場合はプログラマチック isCallerinRole(x) メソッドを、Web アプリケーションの場合は isUserInRole(x) メソッドを使用して実行されます。

- SMF 監査レコード計画を Default に設定した場合に管理ロールのメッセージが抑止されないようにするには、 com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin プロパティーを false に設定します。管理ロールのメッセージ抑止を制御する他の設定は、このプロパティーに指定した値によってオーバーライドされます。
- Tivoli® Access Manager や z/OS 用の SAF といったサード・パーティー許可を使用する場合、管理コンソール・パネルの情報が、プロバイダーのデータを示さない可能性があります。また、パネルへの変更が、自動的にプロバイダーに反映されない可能性もあります。プロバイダーの指示に従って、プロバイダーへの変更を反映させてください。
SAF 権限について詳しくは、インフォメーション・センターの『ローカル OS レジストリー使用時のコンソール・ユーザーへのアクセス制御』を参照してください。管理ロールについて詳しくは、インフォメーション・センターの『管理ロール』を参照してください。
通知 | 値 |
---|---|
デフォルト: | 使用不可。メッセージを抑止しません。 |
SMF 監査レコード計画
どのような場合に System Management Facility (SMF) に監査レコードが書き込まれるのかを決定します。各許可呼び出しでは、 RACF® または同等の SAF ベースの製品は、権限チェックの結果と一緒に監査レコードを SMF に書き込むことができます。
WebSphere Application Server for z/OS は、 SAF RACROUTE AUTH および RACROUTE FASTAUTH オペレーションを使用し、セキュリティー構成で指定された LOG オプションを渡します。オプションは DEFAULT、ASIS、NOFAIL、および NONE です。
- DEFAULT
ユーザーがロールのセットのいずれかに該当する必要があるなど、 複数のロールの制約が指定されている場合、最後のロールを除くすべてのロールが、NOFAIL オプションによりチェックされます。最後のロールの前のロールの 1 つで許可が与えられた場合、WebSphere Application Server は、許可成功レコードを書き込みます。 これらのロールで許可が成功しない場合、最後のロールが、ASIS ログ・オプションによりチェックされます。 ユーザーが最後のロールに対して許可された場合、 成功レコードが書き込まれることがあります。 ユーザーが許可されない場合、失敗レコードが書き込まれることがあります。
- ASIS
- リソースを保護するプロファイル内で指定された方法、 または SETROPTS オプションにより指定された方法で、監査イベントが記録されることを指定します。
- NOFAIL
- 失敗を記録しないことを指定します。許可の失敗メッセージは発行されませんが、 成功した許可監査レコードは書き込まれることがあります。
- NONE
- 失敗も成功も記録しないことを指定します。
複数の SAF 許可呼び出しが行われた場合であっても、 失敗した Java EE 許可チェックに対して 1 つの許可失敗レコードのみが書き込まれます。SAF RACROUTE 呼び出しの LOG オプションについては、 RACF または同等の SAF ベースの製品の 資料を参照してください。また、トピック『監査サポート』を参照して、リソース許可処理時における RACROUTE マクロおよび SAF API の WebSphere Application Server による呼び出しの SMF 監査能力に関する追加情報を確認できます。
SAF プロファイル・プレフィックス
Java EE ロールに使用されるすべての SAF EJBROLE プロファイルの前に追加するプレフィックスを指定します。このプレフィックスは、APPL プロファイル名としても使用され、CBIND 検査に使用されるプロファイル名に挿入されます。「SAF プロファイル・プレフィックス」フィールドにデフォルト値はありません。プレフィックスが明示的に指定されていない場合、SAF EJBROLE プロファイルにプレフィックスは追加されません。APPL プロファイル名には CBS390 のデフォルト値が使用され、CBIND 検査用のプロファイル名には何も挿入されません。
APPL プロファイルを使用して、WebSphere Application Server へのアクセスを制限できます。
SAF プロファイル・プレフィックスが定義されている場合は、使用している APPL プロファイルがプロファイル・プレフィックスになります。それ以外の場合、APPL プロファイル名は CBS390 です。 WebSphere サービスを使用するすべての z/OS ID に、APPL プロファイルの読み取り権限が必要です。これには、すべての WebSphere Application Server ID、WebSphere Application Server 非認証 ID、WebSphere Application Server 管理 ID、ロールからユーザーへのマッピングに基づいたユーザー ID、およびシステム・ユーザーに対するすべてのユーザー ID が含まれます。 APPL クラスが z/OS システム上でアクティブな状態でない場合、その値に関係なく、このプロパティーによる影響がないことに注意してください。