[z/OS]

IMS で最適化ローカル・アダプターを使用する際のセキュリティーに関する考慮事項

このトピックでは、IMS™ で最適化ローカル・アダプターを使用する際のセキュリティーに関する考慮事項を検討します。

最適化されたローカル・アダプターの API を使用できる IMS 依存領域環境を以下に示します。
  • MPR (MPP)
  • ファスト・パス (IFP)
  • バッチ・メッセージ処理 (BMP)
  • バッチ DL/I
登録プロセスでは、現行スレッド上のユーザー ID または従属領域内の TCB は、ターゲット WebSphere® Application Server サーバーの System Authorization Facility (SAF) CBIND クラスに対して、権限を持っているか、少なくとも READ アクセス権を持っている必要があります。WebSphere Application Server にその他の要求を送信するには、事前に登録が必要です。

ユーザー ID を現行 IMS タスクおよびその TCB に関連付ける方法は、いくつかあります。BMP の場合、ジョブ・ユーザー ID は、CBIND クラスへのアクセスを必要とする ID です。IFP および MPP では、TCB のユーザー ID を別の方法で設定できます。IMS 環境の SECURITY マクロで SECLVL=(TRANAUTH,SIGNON) を指定した場合は、サインオン時に提供されたユーザー ID がローカル SAF データベースに入っている必要があり、SAF 認証が行われます。また、SAF でトランザクション・アクセスが検査されます。

これらのオプションを指定して実行して、「セキュリティー環境の作成」を使用すると、出口 DFSBSEX0 は IMS に戻りコード 4 を返します。その後、IMS はトランザクションのディスパッチに使用された TCB を、認証されている SAF ID と同期させます。

最適化ローカル・アダプターの登録 API 呼び出しが成功するためには、アプリケーション・ユーザーのユーザー ID に、WebSphere Application Server CBIND SAF クラスに対する READ 権限が必要です。呼び出し元から Open Transaction Manager Access (OTMA) プロトコルを使用して開始された IMS トランザクションは、OTMASE パラメーターを使用して、現行スレッド/TCB セキュリティー・コンテキストが更新されたかどうかを判別します。OTMASE パラメーターを OTMASE=FULL に設定すると、OTMA クライアント呼び出しによって渡される ID が、MPP または IFP のスレッドの ID であることが示されます。このシナリオでは、クライアント ID に CBIND クラスへの READ アクセスが必要です。

トランザクション処理が IMS から WebSphere Application Server for z/OS® に渡されるとき、ユーザー ID が WebSphere Application Server EJB コンテナー内に伝搬され、表明されます。

最適化ローカル・アダプターを使用して、既存の無変更の IMS トランザクションを OTMA 上で呼び出す場合、現行 WebSphere Application Server クライアントの ID を、メッセージ処理 (MPR) および高速機能 (IFP) の従属領域内に実装および表明された IMS トランザクションに伝搬できます。これを行うには、WebSphere サーバーが SyncToOS Thread オプションを使用可能にして実行されるように構成します。「SyncToOS スレッド」(SyncToOS Thread)」オプションをアクティブにする方法について詳しくは、z/OS セキュリティー・オプションのトピックを参照してください。「SyncToOS スレッド」(SyncToOS Thread)」オプションを使用可能にした後、ターゲット IMS 環境の OTMASE パラメーターが F、FULL に設定されていることを確認します。 これらのオプションをこのように構成すると、WebSphere Application Server 環境内のユーザーの ID が、IMS MPP または IFP に伝搬され、表明されます。これは、バッチ・メッセージ処理 (BMP) 依存領域には適用されません。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): SAF を使用する場合は、BBO.SYNC プロファイルの構成が必要です。 BBO.SYNC プロファイルの構成方法の説明については、『System Authorization Facility のクラスおよびプロファイル』のトピックを参照してください。gotcha

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cdat_olasecurityimsconsid
ファイル名:cdat_olasecurityimsconsid.html