[z/OS]

System Authorization Facility (SAF) 代行

System Authorization Facility (SAF) 代行によって、 構成内の複数のロケーションに ユーザー ID とパスワードを保管する必要性を、 最低限に抑えることができます。

WebSphere® Application Server では、代行機能をサポートしています。 代行によって、ユーザー ID を Java™ EE ロールとして表すことができるようになります。例えば、RoleA の RunAs ロールを使用して実行するよう、 アプリケーションを設定できます。 その後に、RoleAUserA としてマップできます。 さらに WebSphere Application Server では、ID コンテキストを UserA として設定します。RoleA は、デプロイメント記述子で定義されます。 このような調整が適切に行われると、SAF 委任は指定された Java EE ロール RoleA を使用してスレッド ID を決定し、処理をユーザー ID UserA に同期します。UserA は、RDEFINE RACF® コマンドの SAF EJBROLE プロファイルにある APPLDATA 値で指定されます。 この例では、REDEFINE コマンドは次のようになります。
RDEFINE EJBROLE rolea UACC(NONE) APPLDATA(usera)

SAF 委任を使用するには、SAF 許可が使用可能になっていることが必要です。 SAF セキュリティー管理者が、ロールへのユーザーの割り当てを担当します。 SAF 委任を許可する手順については、 z/OS System Authorization Facility 許可を参照してください。

注: SAF 代行を有効にしており、Kerberos がアクティブな認証メカニズムである場合、アプリケーションが run-as ロールを要求しても、サーバーで作成された runAs サブジェクトには Kerberos クレデンシャルは含まれません。 その結果、この要求は LTPA に戻ります。

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safdelegate
ファイル名:csec_safdelegate.html