[z/OS]

インバウンド・サポート用に最適化されたローカル・アダプターの保護

このタスクを使用して、インバウンド呼び出しを実行する、最適化されたローカル・アダプターの接続のセキュリティーをセットアップします。

始める前に

実行する WebSphere® Application Server for z/OS® サーバーで、最適化されたローカル・アダプター API を使用する場合は、そのサーバーでグローバル・セキュリティーをセットアップし、Sync-to-OS Thread オプションをアクティブにします。グローバル・セキュリティーについて詳しくは、『セキュリティーの使用可能化』を参照してください。Sync-to-OS Thread オプションについて詳しくは、『z/OS セキュリティー・オプション』を参照してください。

WebSphere Application Server for z/OS サーバーへのローカル・アクセスは、System Authorization Facility (SAF) CBIND クラスによって保護されます。このクラスは、プロファイルの作成時に定義され、Internet Inter-ORB Protocol (IIOP) ローカル・クライアントの接続要求および最適化されたローカル・アダプターの要求が実行されたときに WebSphere Application Server for z/OS サーバーを保護するために使用されます。登録 API を使用するアプリケーションを実行する前に、ジョブ、UNIX System Services (USS) プロセス、または顧客情報管理システム (CICS®) 領域のユーザー ID に、ターゲット・サーバーの CBIND クラスに対する読み取りアクセスを許可する必要があります。これは BBOCBRAK ジョブでセットアップします。CBIND クラスについて詳しくは、『CBIND を使用したクラスターへのアクセスの制御』を参照してください。

WebSphere Application Server に対するすべてのインバウンド要求は、スレッドに対する現在のユーザーの権限で実行されます。この ID は自動的に伝搬され、Enterprise JavaBeans (EJB) コンテナーで表明され、この ID でアプリケーションが開始されます。ターゲット・エンタープライズ Bean に対するインバウンド要求は、ローカル IIOP 要求に対するメソッド起動と同じように到達します。また、RunAs のセキュリティー・オプションは、ローカル IIOP 要求と同じように動作します。

トランザクション処理が CICS と WebSphere Application Server for z/OS との間で、インバウンドまたはアウトバウンドで受け渡される場合、セキュリティーに関するいくつかの特別な考慮事項について検討する必要があります。例えば、WebSphere Application Server に送信されたインバウンド処理の認証が、特定の CICS アプリケーションの権限で実行されるか、CICS 領域全体の権限で実行されるかを確認する必要があります。WebSphere Application Server がアウトバウンド処理を CICS アプリケーションに送信する場合も、同様のことについて検討します。CICS が送信元のアプリケーションの権限と現在の CICS セキュリティー・プロファイルの権限のどちらを優先するかを確認する必要があります。
重要: CICS が要求を処理するには、クライアント・アプリケーションが認証されるようにする必要があります。

CICS から要求を WebSphere Application Server に渡す場合、現在の CICS アプリケーション ID を使用することを指定できます。これを行うには、そのことを示すフラグを 登録 API の呼び出しに設定します。

このタスクについて

インバウンド呼び出し用に最適化されたローカル・アダプターを保護するには、次の作業を行う必要があります。

手順

セキュリティー設定を構成します。 最適化されたローカル・アダプターの接続要求が、BBOA1REG の呼び出しで実行されると、セキュリティー ID の伝搬タイプが登録フラグ内に指定されます。CICS 領域またはアプリケーション・セキュリティー・プロファイルのいずれかを選択できます。
重要: これを適切に機能させるには、SEC=YES CICS 開始オプションを使用して、CICS アプリケーション・レベルのセキュリティーを有効にしておく必要があります。
また、ola_cicsuser_identity_propagate 環境変数が 1 に設定されている場合にのみ、CICS アプリケーション・ユーザーは WebSphere Application Server スレッドに伝搬および表明されます。ola_cicsuser_identity_propagate 環境変数を使用すると、この動作を WebSphere Application Server システムのプログラマーが管理できるようになります。 このオプションが 0 に設定されている場合 (デフォルト)、登録 API でアプリケーション・レベルの伝搬を選択する CICS アプリケーションを呼び出すと、エラーが発生します。この環境変数について詳しくは、『最適化されたローカル・アダプターの環境変数』を参照してください。

環境変数を設定して、登録要求が実行されたときの認証に CICS アプリケーション・レベルの ID を使用できるようにします。この変数を設定するには、管理コンソールで次の作業を行います。

  1. 環境」>「WebSphere 変数」とクリックします。
  2. 有効範囲」の「表示する有効範囲の選択 (Show scope selection)」ドロップダウン・リストで、「セル」を選択します。 ola_cicsuser_identity_propagate 環境変数がリソース・リストに表示されている場合、この変数を再度追加する必要はありません。必要に応じて、ステップ c を繰り返します。変数をリソース・リストに追加していない場合は、「追加」をクリックします。この作業を初めて行う場合は、表示リストに ola_cicsuser_identity_propagate 環境変数を追加する必要があります。最初の追加後は毎回、有効範囲を設定した後に、表示リストから ola_cicsuser_identity_propagate を選択できます。
  3. 「ola_cicsuser_identity_propagate」をクリックします。 変数を構成できる「一般プロパティー」がウィンドウに表示されます。
  4. WebSphere Application Server 環境変数を 1 に設定します。 この環境変数を 0 (ゼロ) に設定するか定義しない場合、WebSphere Application Server へのインバウンド呼び出しで CICS アプリケーション・レベルのセキュリティーは優先されません。
  5. 「適用」「OK」をクリックします。

タスクの結果

これで、最適化されたローカル・アダプターのインバウンド接続のセキュリティーをセットアップできました。

次のタスク

IMS™ でのセキュリティーの使用について詳しくは、『最適化されたローカル・アダプターを IMS で使用するときのセキュリティーの考慮事項』トピックを参照してください。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_security_in
ファイル名:tdat_security_in.html