![[z/OS]](../images/ngzos.gif)
Java 認証・承認サービスのログイン・モジュールを使用した、レジストリー・プリンシパルから System Authorization Facility ユーザー ID へのマッピング
Java™ Authentication and Authorization Service (JAAS) のログイン・モジュールを使用して、レジストリー・プリンシパルを System Authorization Facility (SAF) ユーザー ID にマップすることができます。
- プラグ可能なログイン・モジュールにより、 ログイン時に共有マップ内で z/OS® の定義済み属性を設定することができます。
- com.ibm.websphere.security.SampleSAFMappingModule サンプル・マッピング・モジュールが、WebSphere® Application Server に用意されています。 このモジュールにより、共有状態で定義されている z/OS の属性が設定されます。 このモジュールは、ログイン・モジュール・リスト内で、 com.ibm.ws.security.common.auth.module.MapPlatformSubject マッピング・モジュール・エントリーの前に置く必要があります。
WebSphere Application Server マッピングで使用される、以下の明確に定義された属性のセットは、sas.jar ファイルで使用可能な com.ibm.wsspi.security.token.AttributeNameConstants クラスで定義されています。
com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_USERID
この属性は、z/OS SAF ユーザー ID を必要とするオペレーションが実行されるときに、MVS™ ユーザー ID の値を設定するために使用します。 値が指定されていない場合、WebSphere Application Server では、 非認証ユーザーを使用して SAF ユーザー ID を設定します。 この SAF ユーザー ID は有効な MVS ユーザー ID でなければなりません。
com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_AUDIT_STRING
この属性は、Resource Access Control Facility (RACF®) アクセス制御環境エレメント (ACEE) を作成するときに、指定されたストリングが X500Name プロパティーに置かれていることを示す場合に使用します。
- EJBROLE 許可検査
- Java 2, Enterprise Edition (J2EE) ID に対して同期化されたオペレーティング・システム ID で稼働しているアプリケーションのアクセス検査。詳しくは、Java スレッド ID とオペレーティング・システム・スレッド IDを参照してください。
com.ibm.wsspi.security.token.AttributeName.Constants.CALLER_PRINCIPAL_CLASS
このオプションのフィールドは、getCallerPrincipal および getUserPrincipal アプリケーション・プログラミング・インターフェース (API) を使用した場合に戻される (JAAS サブジェクトの) プリンシパル・クラスを示すために使用します。
- WebSphere Application Server ランタイム
- JAAS ログイン・モジュール
このフィールドのデフォルト値は、com.ibm.websphere.security.auth.WSPrincipal です。 このデフォルト値を使用して、 構成された WebSphere Application Server レジストリーで WebSphere Application Server プリンシパル名を戻します。
マップされた SAF プリンシパルを戻すには、com.ibm.ws.security.zos.Principal を指定します。 値が指定されていても、指定された CALLER_PRINCIPAL_CLASS 値にプリンシパルが一致していない場合、その戻り値は非認証ユーザーを示しています。 getUserInRole を指定するとヌル値が戻り、getCallerPrincipal() を指定すると、ユーザーが非認証であることを示すストリングを戻します。
- サーバー ID
- この ID は、常にプロセスのユーザー ID にマップされ、STARTED プロファイルにより割り当てられます。
- UNAUTHENTICATED ユーザーに対応する SAF ID
- UNAUTHENTICATED ユーザーに対応する SAF ID は、ネットワーク ID がないことを意味します。 この値は、WebSphere z/OS プロファイル管理ツールまたは zpmt コマンドを使用して構成され、管理コンソールを使用して変更できます。非認証ユーザーの SAF ID は、RESTRICTED 属性を付けて作成することが推奨されます。