[z/OS]

Java 認証・承認サービスのログイン・モジュールを使用した、レジストリー・プリンシパルから System Authorization Facility ユーザー ID へのマッピング

Java™ Authentication and Authorization Service (JAAS) のログイン・モジュールを使用して、レジストリー・プリンシパルを System Authorization Facility (SAF) ユーザー ID にマップすることができます。

注: SAF 分散 ID マッピング機能を使用する場合、マッピング・モジュールを構成する必要はありません。

WebSphere Application Server マッピングで使用される、以下の明確に定義された属性のセットは、sas.jar ファイルで使用可能な com.ibm.wsspi.security.token.AttributeNameConstants クラスで定義されています。

com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_USERID

この属性は、z/OS SAF ユーザー ID を必要とするオペレーションが実行されるときに、MVS™ ユーザー ID の値を設定するために使用します。 値が指定されていない場合、WebSphere Application Server では、 非認証ユーザーを使用して SAF ユーザー ID を設定します。 この SAF ユーザー ID は有効な MVS ユーザー ID でなければなりません。

com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_AUDIT_STRING

この属性は、Resource Access Control Facility (RACF®) アクセス制御環境エレメント (ACEE) を作成するときに、指定されたストリングが X500Name プロパティーに置かれていることを示す場合に使用します。

この属性は監査ストリングを SAF ユーザーと関連付け、以下のいずれかのアクションが実行されると、System Management Facility (SMF) レコードに表示されます。 このフィールドには、最大 223 文字入力できます。 指定した値が 223 文字を超える場合は、 最初の 223 文字のみが使用されます。 この値が省略されると、プリンシパルを作成する場合に監査データが追加されません。 このフィールドに記録される監査データには、接頭部として SMF 監査レコード・ストリング「WebSphere Mapped Userid」が付けられます。

com.ibm.wsspi.security.token.AttributeName.Constants.CALLER_PRINCIPAL_CLASS

このオプションのフィールドは、getCallerPrincipal および getUserPrincipal アプリケーション・プログラミング・インターフェース (API) を使用した場合に戻される (JAAS サブジェクトの) プリンシパル・クラスを示すために使用します。

このプリンシパルは、以下のいずれかの手段によって作成されます。
  • WebSphere Application Server ランタイム
  • JAAS ログイン・モジュール

このフィールドのデフォルト値は、com.ibm.websphere.security.auth.WSPrincipal です。 このデフォルト値を使用して、 構成された WebSphere Application Server レジストリーで WebSphere Application Server プリンシパル名を戻します。

マップされた SAF プリンシパルを戻すには、com.ibm.ws.security.zos.Principal を指定します。 値が指定されていても、指定された CALLER_PRINCIPAL_CLASS 値にプリンシパルが一致していない場合、その戻り値は非認証ユーザーを示しています。 getUserInRole を指定するとヌル値が戻り、getCallerPrincipal() を指定すると、ユーザーが非認証であることを示すストリングを戻します。

注: 以下のような一部のネットワーク ID では、提供されたマッピング・モジュールを使用して処理されません。
サーバー ID
この ID は、常にプロセスのユーザー ID にマップされ、STARTED プロファイルにより割り当てられます。
UNAUTHENTICATED ユーザーに対応する SAF ID
UNAUTHENTICATED ユーザーに対応する SAF ID は、ネットワーク ID がないことを意味します。 この値は、WebSphere z/OS プロファイル管理ツールまたは zpmt コマンドを使用して構成され、管理コンソールを使用して変更できます。非認証ユーザーの SAF ID は、RESTRICTED 属性を付けて作成することが推奨されます。

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_jaaslogmod
ファイル名:rsec_jaaslogmod.html