[z/OS]

信頼されたアプリケーションの使用可能化

z/OS® における信頼されたアプリケーションとは、WebSphere® Application Server の開始タスク制御プログラム (STC) が 「信頼されたアプリケーション」となって、 実行するスレッドの System Authorization Facility (SAF) の ID を変更できるようになることを意味します。 z/OS アプリケーション (WebSphere Application Server など) が信頼されると、MVS™ システムの整合性を保ったまま、 セキュリティー・インフラストラクチャーによって、 パスワード、パスチケット、証明書などを使用せずに、MVS クレデンシャルをオーセンティケーターとして作成できるようになります。

SAF を ローカル・オペレーティング・システムのユーザー・レジストリーとして使用する場合、または SAF 許可の使用を計画している場合は、(原則として)信頼されたアプリケーションが必要になります (FACILITY クラス、および BBO.TRUSTEDAPPS クラス・プロファイルを使用します)。 ローカル・オペレーティング・システム・ユーザー・レジストリー向けの SAF セキュリティー、SAF 許可、 または Sync to Thread Allowed を使用するように、WebSphere Application Server が構成されている場合、 信頼されたアプリケーションを使用可能にして、MVS システム整合性が保たれるようにする必要があります。 信頼されたアプリケーションは、MVS 整合性ルールを満たしています。 したがって、未認証の呼び出し元が、WebSphere Application Server の機密コードを呼び出して、 権限が必要な機能を実行することはできません。 SAF を使用する場合は、Resource Access Control Facility (RACF®) か、または同等な製品を使用して、 信頼されたアプリケーションを定義する必要があります。 実行するスレッドの ID を変更する権限を持つ信頼されたアプリケーションとして、WebSphere Application Server を SAF 許可リソース・ルールで定義する必要があります。 このようにして、WebSphere Application Server および MVS を、互いの整合性を失うことなく連携させることができます。

FACILITY クラス・プロファイルの使用

信頼されたアプリケーションを使用可能にするには、WebSphere Application Server が、FACILITY の RACF クラスに対する SAF の読み取りアクセス権と、BBO.TRUSTEDAPPS.<cell short name>.<cluster short name> プロファイルを持つようにします。

定義の後で、信頼されたアプリケーションを使用可能にする必要があります。 FACILITY クラス・プロファイルを使用して、 信頼されたアプリケーションを使用可能にするための制御権を RACF 管理者に与えます。 FACILITY クラスと BBO.TRUSTEDAPPS クラス・プロファイルを使用して、 この制御権を与える方法を、以下の例で説明します。
  • 汎用例:
    RDEF FACILITY BBO.TRUSTEDAPPS.**UACC(NONE)
    PERMIT BBO.TRUSTEDAPPS.** CLASS(FACILITY) ID(MYCBGROUP) ACC(READ)
    SETROPTS RACLIST(FACILITY) REFRESH
  • 次の例では、セルのショート・ネーム SY1、クラスターのショート・ネーム BBOC001、 およびコントローラー領域のユーザー ID BBOC001 によって、 特定のサーバーを識別しています。
    RDEF FACILITY BBO.TRUSTEDAPPS.SY1.BBOC0001 UACC NONE
    PERMIT BBO.TRUSTEDAPPS.SY1.BBOC0001 CLASS(FACILITY) ID(MYSTCCR) ACC(READ)
    SETROPTS RACLIST(FACILITY) REFRESH

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_trusted_apps
ファイル名:rsec_trusted_apps.html