[z/OS]

カスタム SAF EJB ロール・マッパーの開発

WebSphere® Application Server for z/OS® では、Java™ Platform, Enterprise Edition (Java EE) のロール名を SAF EJBRole プロファイル名にマップするインストールが可能です。

始める前に

WebSphere Application Server for z/OS は、カスタム SAF EJB ロール・マッパーの使用をサポートしています。 カスタム SAF EJB ロール・マッパーでは、J2EE ロール名を SAF EJBRole プロファイル名にマップするインストールが可能です。 SAF EJB ロール・マッパーがない場合は、EJBROLE クラス・プロファイルの名前と同一のコンポーネントのデプロイメント記述子内のロールを使用し、アプリケーションをデプロイする必要があります。 セキュリティー管理者は EJBROLE プロファイルを定義し、それらのプロファイルの許可を SAF ユーザーまたはグループに提供します。

SAF EJBROLE クラス・プロファイルを使用すると、標準 Java EE ロールの命名規則と競合する場合があります。 Java EE ロール名は、任意の長さの Unicode ストリングです。 RACF® クラス・プロファイルは長さが 240 文字に制限されており、プロファイルに空白または拡張コード・ページ文字が含まれていると定義できません。

インストールの際に Java EE ロール名がこれらの RACF の制限と競合する場合は、インストールで SAF EJB ロール・マッパー出口を使用して、必要な Java EE ロール名を、許容されるクラス・プロファイル名にマップすることができます。

カスタム SAF ロール・マッパーは、EJBROLE クラス・プロファイルの構成アルゴリズムを置き換える Java ベースの出口です。 カスタム SAF ロール・マッパーは、許可および代行の要求でプロファイルを生成する場合に呼び出されます。 ロール・マッパーは、アプリケーションの名前およびロールの名前を受け渡し、次にアプリケーションのクラス・プロファイル名を戻して受け渡します。 初期化の間に、サーバー名、セル名、および SAF プロファイルの接頭部 (前は z/OS セキュリティー・ドメインとして参照されていました) についての情報が実装に提供されます。

com.ibm.websphere.security.SAF.RoleMapper カスタム・プロパティーは、管理コンソールの「z/OS SAF 許可 (z/OS SAF authorization)」パネルで設定できます。ロール・マッパーは、カスタム・プロパティー com.ibm.websphere.security.SAF.RoleMapper を制御が付与されるクラスの名前に設定することによっても使用可能にできます。

手順

  1. カスタム SAF ロール・マッパーを作成します。 以下の SAFRoleMapper 例をリファレンスとして使用できます。
    public class SAFRoleMapperImpl1 {
    		String domainPrefix = null;
    
    		public void initialize(Properties context) {
    				domainPrefix = context.get(SAFRoleMapper.DOMAIN_NAME);
    	}
    
    		public String getProfileNameFromRole(String app, String role) {
    		String profile = app + “.” + role;
    		if (domainPrefix != null) {
    			profile = domainPrefix + “.” + profile;
    		}
    				profile = profile.replaceAll(“¥¥%”, “#”);
    				profile = profile.replaceAll(“¥¥&”, “#”);
    				profile = profile.replaceAll(“¥¥*”, “#”);
    				profile = profile.replaceAll(“¥¥s”,“#”);
    
    				return profile;
    	}
    }
  2. 「セキュリティー」>「グローバル・セキュリティー」>「z/OS SAF 許可 (z/OS SAF authorization)」の順にクリックし、 「SAF プロファイル・マッパー」フィールドに制御を付与するクラスの名前を入力してロール・マッパーを使用可能にします。 このプロパティーは、名前として com.ibm.websphere.security.SAF.RoleMapper を入力し、値フィールドにクラスの名前を入力することにより、カスタム・プロパティーとして設定することもできます。
  3. セキュリティー」>「グローバル・セキュリティー」>「外部許可プロバイダー」とクリックして、 「System Authorization Facility (SAF) authorization」オプションを選択し、SAF を許可プロバイダーとして使用可能にします。 このオプションを選択した後「関連項目」の下の「z/OS SAF 許可 (z/OS SAF authorization)」をクリックし、SAF 許可の各オプションを構成します。

    このプロパティーは、名前として com.ibm.websphere.security.SAF.authorization を入力し、値として true を入力することにより、カスタム・プロパティーとして設定することもできます。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_safrolemap
ファイル名:tsec_safrolemap.html