![[z/OS]](../images/ngzos.gif)
信頼されたアプリケーションの使用可能化
z/OS® における信頼されたアプリケーションとは、WebSphere® Application Server の開始タスク制御プログラム (STC) が 「信頼されたアプリケーション」となって、 実行するスレッドの System Authorization Facility (SAF) の ID を変更できるようになることを意味します。 z/OS アプリケーション (WebSphere Application Server など) が信頼されると、MVS™ システムの整合性を保ったまま、 セキュリティー・インフラストラクチャーによって、 パスワード、パスチケット、証明書などを使用せずに、MVS クレデンシャルをオーセンティケーターとして作成できるようになります。
SAF を ローカル・オペレーティング・システムのユーザー・レジストリーとして使用する場合、または SAF 許可の使用を計画している場合は、(原則として)信頼されたアプリケーションが必要になります (FACILITY クラス、および BBO.TRUSTEDAPPS クラス・プロファイルを使用します)。 ローカル・オペレーティング・システム・ユーザー・レジストリー向けの SAF セキュリティー、SAF 許可、 または Sync to Thread Allowed を使用するように、WebSphere Application Server が構成されている場合、 信頼されたアプリケーションを使用可能にして、MVS システム整合性が保たれるようにする必要があります。 信頼されたアプリケーションは、MVS 整合性ルールを満たしています。 したがって、未認証の呼び出し元が、WebSphere Application Server の機密コードを呼び出して、 権限が必要な機能を実行することはできません。 SAF を使用する場合は、Resource Access Control Facility (RACF®) か、または同等な製品を使用して、 信頼されたアプリケーションを定義する必要があります。 実行するスレッドの ID を変更する権限を持つ信頼されたアプリケーションとして、WebSphere Application Server を SAF 許可リソース・ルールで定義する必要があります。 このようにして、WebSphere Application Server および MVS を、互いの整合性を失うことなく連携させることができます。
FACILITY クラス・プロファイルの使用
信頼されたアプリケーションを使用可能にするには、WebSphere Application Server が、FACILITY の RACF クラスに対する SAF の読み取りアクセス権と、BBO.TRUSTEDAPPS.<cell short name>.<cluster short name> プロファイルを持つようにします。
- 汎用例:
RDEF FACILITY BBO.TRUSTEDAPPS.**UACC(NONE) PERMIT BBO.TRUSTEDAPPS.** CLASS(FACILITY) ID(MYCBGROUP) ACC(READ) SETROPTS RACLIST(FACILITY) REFRESH
- 次の例では、セルのショート・ネーム SY1、クラスターのショート・ネーム BBOC001、
およびコントローラー領域のユーザー ID BBOC001 によって、
特定のサーバーを識別しています。
RDEF FACILITY BBO.TRUSTEDAPPS.SY1.BBOC0001 UACC NONE PERMIT BBO.TRUSTEDAPPS.SY1.BBOC0001 CLASS(FACILITY) ID(MYSTCCR) ACC(READ) SETROPTS RACLIST(FACILITY) REFRESH