![[z/OS]](../images/ngzos.gif)
System Authorization Facility (SAF) 代行
System Authorization Facility (SAF) 代行によって、 構成内の複数のロケーションに ユーザー ID とパスワードを保管する必要性を、 最低限に抑えることができます。
WebSphere® Application Server では、代行機能をサポートしています。
代行によって、ユーザー ID を Java™ EE ロールとして表すことができるようになります。例えば、RoleA の RunAs ロールを使用して実行するよう、
アプリケーションを設定できます。
その後に、RoleA を UserA としてマップできます。
さらに WebSphere Application Server では、ID コンテキストを UserA として設定します。RoleA は、デプロイメント記述子で定義されます。
このような調整が適切に行われると、SAF 委任は指定された Java EE ロール RoleA を使用してスレッド ID を決定し、処理をユーザー ID UserA に同期します。UserA は、RDEFINE RACF® コマンドの SAF EJBROLE プロファイルにある APPLDATA 値で指定されます。
この例では、REDEFINE コマンドは次のようになります。
RDEFINE EJBROLE rolea UACC(NONE) APPLDATA(usera)
SAF 委任を使用するには、SAF 許可が使用可能になっていることが必要です。 SAF セキュリティー管理者が、ロールへのユーザーの割り当てを担当します。 SAF 委任を許可する手順については、 z/OS System Authorization Facility 許可を参照してください。
注: SAF 代行を有効にしており、Kerberos がアクティブな認証メカニズムである場合、アプリケーションが run-as ロールを要求しても、サーバーで作成された runAs サブジェクトには Kerberos クレデンシャルは含まれません。
その結果、この要求は LTPA に戻ります。