[z/OS]

역할 기반 권한에 대한 SAF(System Authorization Facility)

역할을 지정할 때는 다음과 같은 세 가지 선택사항이 있습니다. (1) WebSphere® Application Server 권한(관리 콘솔의 보안 역할 대 사용자/그룹 맵핑 패널을 사용하여 WebSphere Administration 내에서 권한 관리가 수행됨). (2) J2EE(Java 2 Platform Enterprise Edition) 역할에 SAF 권한을 사용하는 역할 기반 권한(z/OS용 WebSphere Authorization Facility 옵션만 해당)에 대한 시스템 권한 기능(SAF). (3) 플러그 가능한 JACC 인터페이스를 사용하는 외부 권한 제공자입니다. WebSphere Application Server가 SAF 권한을 사용하도록 구성된 경우, 권한 관리는 SAF 관리 기능을 사용하여 수행되며 WebSphere Administration 내의 J2EE 역할 관리에 대한 사용자 또는 그룹은 무시됩니다. EJBROLE의 SAF 클래스는 클라이언트에서 WebSphere Application Server 관리 콘솔 애플리케이션을 포함하여 EJB와 웹 애플리케이션에서 J2EE(Java™ 2 Platform Enterprise Edition) 역할에 대한 액세스를 제어하는 데 사용됩니다(예를 들면, RACF® EJBROLE 프로파일을 사용하여).

SAF 권한 사용 시 중요 고려사항: SAF 권한을 선택할 때 고려해야 하는 이후의 권한 조작은 몇 가지 기능적인 영향을 미칩니다.
  • 관리 콘솔에서 SAF 권한을 선택하면, 다른 권한 선택사항(예: Tivoli Access Manager 권한)을 대체합니다. 자세한 정보는 제어 요약의 내용을 참조하십시오.
  • SAF 권한이 사용 가능하면, 운영 체제의 보안 관리자(RACF 또는 이와 동등한 제품)가 임의의 레벨에 대한 권한 부여를 항상 수행합니다. 사용자는 보안 관리자(RACF) 사용자 ID를 사용하여 인증되어야 하며 SAF 맵핑 모듈이 사용되어야 합니다. 자세한 정보는 운영 체제 및 애플리케이션 레벨에 대한 SAF(System Authorization Facility) 고려사항의 내용을 참조하십시오.
  • 시스템을 사용자 정의하면서 SAF 권한을 선택하는 경우, 구성 대화 상자를 사용하여 생성된 RACF 작업으로 모든 관리 역할에 대한 관리 EJBROLE 프로파일이 정의되고 모든 사용자 레지스트리에 대한 인증 메커니즘으로 SAF 권한을 사용할 수 있습니다. 자세한 정보는 로컬 OS 레지스트리를 사용할 때 콘솔 사용자에 대한 액세스 제어의 내용을 참조하십시오.
  • SAF 권한을 구성하는 경우, com.ibm.security.SAF.authorization 특성이 true로 설정되고 SAF EJBROLE 프로파일이 관리 역할에 대한 액세스를 제어하는 데 사용됩니다. 관리 역할에 대한 액세스 권한 부여에 대한 자세한 정보는 관리 역할에 대한 액세스 권한 부여의 내용을 참조하십시오.
  • SAF 권한이 사용 가능하면, 콘솔 사용자 및 콘솔 그룹의 값은 무시됩니다. 관리 콘솔의 사용자/그룹에 보안 역할 맵핑 기능 패널이 무시됩니다. 자세한 정보는 관리 역할 및 네이밍 서비스 권한의 내용을 참조하십시오.
  • RACF에서 관리되므로 사용자 및 인증된 모든 사용자는 무시됩니다. 자세한 정보는 사용자 또는 그룹에 보안 역할 맵핑뿐만 아니라 운영 체제 및 애플리케이션 레벨에 대한 SAF(System Authorization Facility) 고려사항의 내용도 참조하십시오.
  • SAF 권한이 사용 가능하면, SAF EJBROLE 프로파일이 CosNaming 기능에 대한 액세스를 제어하는 데 사용됩니다. 사용자 정의 대화 상자에서 보안 도메인 설정 중에 사용자 정의 작업에 의해 정의되었습니다. CosNaming 기능 및 SAF 권한에 대한 자세한 정보는 SAF 권한 부여를 사용하여 이름 지정 역할에 대한 액세스 제어의 특수 고려사항의 내용뿐 아니라 관리 역할 및 네이밍 서비스 권한의 내용을 참조하십시오.
  • SAF 권한을 작동시킨 경우, SAF EJBROLE 프로파일이 사용되어 J2EE 역할에 권한을 부여합니다. 로컬 운영 체제 이외의 레지스트리를 사용하는 경우에는 WebSphere Application Server ID를 SAF ID에 맵핑하기 위해 ID 맵핑을 수행해야 합니다. 자세한 정보는 로컬 OS 레지스트리를 사용할 때 콘솔 사용자에 대한 액세스 제어의 내용을 참조하십시오.
  • J2EE에 대한 SAF 권한은 애플리케이션 배치 프로세스에 독립적인 태스크입니다. 자세한 정보는 사용자 및 그룹을 역할로 지정의 내용을 참조하십시오.
  • EJBROLE 클래스에 RACLIST를 수행해야 합니다. EJBROLE 클래스에 RACLIST를 수행하지 않는 경우, EJBROLE 클래스에서 프로파일의 변경사항을 선택하려면 애플리케이션 서버를 다시 시작해야 합니다.
  • Servlet 3.1 스펙은 모든 인증된 사용자에게 액세스를 부여하는 역할 이름 **를 새로 정의합니다. 기본적으로 권한 부여 의사결정은 SAF가 수행합니다.
  • com.ibm.websphere.security.delegateStarStarRoleAuthorization 사용자 정의 특성은 역할 이름이 **일 때 보안 코드가 모든 인증된 사용자에게 액세스를 부여하는지 여부를 정의합니다.
    • true - 보안 코드가 플러그 가능한 권한 테이블과 상호작용하지 않고 액세스를 부여합니다.
    • false - 보안 코드가 플러그 가능한 권한 테이블에 의사결정을 위임합니다. 이것이 기본값입니다.
지원된 구성 지원된 구성: SAF 권한 사용 시, 사용자 또는 그룹 멤버십에 대한 변경사항을 SAF에 바로 적용하려면 수정된 사용자를 대상으로 purgeUserFromAuthCache SecurityAdmin mbean 메소드를 호출하십시오. 이렇게 하지 않으면 주기적으로 캐시가 새로 고쳐질 때 변경사항이 적용됩니다. 그 대신 서버를 다시 시작할 수도 있습니다. sptcfg

SAF 권한을 사용하는 경우에는 SAF EJBROLE 프로파일을 사용하여 Java EE 역할에 권한을 부여합니다. 로컬 운영 체제 이외의 레지스트리를 사용하는 경우에는 WebSphere Application Server ID를 SAF ID에 맵핑하기 위해 ID 맵핑을 수행해야 합니다.

SAF 권한을 작동시키려면 z/OS SAF(System Authorization Facility) 권한에서 자세한 정보를 참조하십시오.

애플리케이션 배치 프로세스에 속해 있는 EJBROLES 정의. 사용자 ID가 애플리케이션이 정의한 Java EE 역할에 해당하는 정의된 EJBROLE 프로파일에 대해 최소한 READ 액세스 권한을 갖고 있는 경우, 이 사용자 ID는 역할 상태로 간주됩니다. 이 클래스를 이름 EJBROLE과 혼동하지 마십시오. 이 이름은 엔터프라이즈 Bean 및 웹 애플리케이션 모두에서 Java EE 역할에 사용됩니다.

애플리케이션 배치자가 컴포넌트 배치 디스크립터의 역할을 사용하는 경우, 역할 이름은 EJBROLE 프로파일 이름과 동일해야 합니다. 보안 관리자는 EJBROLE 프로파일을 정의하며 SAF 사용자 또는 그룹을 프로파일에 허용합니다. 사용자가 역할에 대한 자격을 얻으려면 EJBROLE 프로파일에 대한 읽기 액세스 권한이 있거나 읽기 액세스 권한이 있는 SAF 그룹에 연결되어야 합니다.

SAF 프로파일 접두부 스펙(이전 z/OS 보안 도메인)은 SAF 권한을 선택할 때 WebSphere Application Server for z/OS 시스템 자원이 사용하는 특정 EJBROLE 프로파일에 영향을 줍니다. SAF 접두부를 정의하면, 이 특성 값이 WebSphere Application Server for z/OS 런타임의 Java EE 애플리케이션 EJBROLE 프로파일의 접두부가 됩니다. 이를 통해 동일한 sysplex의 다른 셀에 동일한 애플리케이션을 배치하고 원하는 경우 다른 사용자에 역할을 맵핑할 수 있습니다.

예를 들어 애플리케이션에 두 가지 Java EE 역할 이름, juniorTellersseniorTellers가 있는 경우입니다. 이 이름은 복합 역할입니다. SAF 레지스트리에는 JTELLERSTELLER라는 MVS 그룹이 있으며 BANKADM이라는 MVS 사용자 ID가 있습니다. JTELLER 그룹은 juniorTellers 역할에 액세스하는 데 필요하고 STELLER 그룹은 seniorTellers 역할에 액세스하는 데 필요합니다. BANKADM 사용자 ID는 두 역할 모두에 액세스하는 데 필요합니다.

두 개의 셀이 있으며 두 셀 모두 SAF 프로파일 접두부를 사용하도록 정의됩니다. 이 접두부는 각각 PRODCELLTESTCELL입니다. TEST1 사용자 ID는 테스트 환경 TESTCELL에서만 두 역할에 대한 액세스 권한이 있어야 합니다.

두 셀에 동일한 애플리케이션을 배치하려는 경우에는 다음과 같이 RACF(또는 이에 해당하는 보안 서브시스템)를 사용하여 고유한 프로파일을 정의해야 합니다.

RACF를 보안 서버로 사용하는 경우에는 다음 명령을 실행하여 사용 가능하게 하십시오.
/* the EJBROLE class must be active, this step is done by the customization dialogs  */
SETROPTS CLASSACT(EJBROLE)

/* first define the roles in RACF */
RDEFINE EJBROLE PRODCELL.juniorTellers UACC(NONE)
RDEFINE EJBROLE PRODCELL.seniorTellers UACC(NONE)

RDEFINE EJBROLE TESTCELL.juniorTellers UACC(NONE)
RDEFINE EJBROLE TESTCELL.seniorTellers UACC(NONE)

/* permit the appropriate users and groups to the various roles */
PERMIT PRODCELL.juniorTellers CLASS(EJBROLE)  ID(JTELLER BANKADM) ACCESS(READ)
PERMIT PRODCELL.seniorTellers CLASS(EJBROLE)  ID(STELLER BANKADM) ACCESS(READ)

PERMIT TESTCELL.juniorTellers CLASS(EJBROLE)  ID(TEST1) ACCESS(READ)
PERMIT TESTCELL.seniorTellers CLASS(EJBROLE)  ID(TEST1) ACCESS(READ)

/* refresh the EJBROLE class in RACF *
SETROPTS RACLIST(EJBROLE) REFRESH"     

EJBROLES(GEJBROLE) 그룹화

SAF 인터페이스는 EJBROLE 클래스에 대한 그룹화 클래스도 지원합니다. 이 그룹화 클래스는 GEJBROLE입니다. 이 클래스는 여러 역할에 동일한 사용자 또는 그룹에 대한 액세스 권한을 부여해야 하는 경우 특히 유용합니다.

GEJBROLE 그룹화 클래스는 기본적으로 다른 Java EE 서버에서 사용할 수 없는 성능을 제공합니다. Java EE 보안 모델을 사용하는데, 유사한 함수(예: 관리 함수용 Hire, Promote 또는 GrantPayraise)에 다양한 역할 이름을 사용하는 여러 개의 컴포넌트 또는 애플리케이션이 있는 경우에는 다음과 같은 여러 가지 옵션이 있습니다.
  • 애플리케이션의 배치 디스크립터가 이미 현재 엔터프라이즈(예: 관리자)에 정의되어 있는 역할을 따르도록 조정합니다. 이 프로세스는 애플리케이션을 변경하거나 재설치할 때마다 배치 디스크립터를 다시 조정해야 하므로 시간이 많이 소요되고 오류가 발생할 수 있습니다.
  • 애플리케이션에서 필요한 각 역할에 대한 EJBROLE 프로파일을 정의합니다. 그런 다음, 사용자 및 그룹이 이러한 역할에 액세스할 수 있게 합니다. 동일한 사용자 및 그룹이 유사한 의미를 가진 여러 다른 프로파일에 대한 사용 권한을 가질 수 있기 때문에 이 프로세스를 관리자용으로 확장할 수 있습니다.
  • 그룹화 클래스를 사용하여 나머지 두 가지 옵션의 가장 심각한 문제가 발생하지 않도록 합니다. 이 경우도 애플리케이션에서 필요한 각 역할에 대한 EJBROLE 프로파일을 정의해야 합니다. 새 프로파일을 사용하기 위해 모든 동일한 사용자 및 그룹을 허용하는 대신 그룹화 클래스에 프로파일(예: supervisors)을 작성하고 모든 새 EJBROLE 프로파일을 추가하십시오. 한 곳에 있는 모든 사용자 및 그룹에게 이러한 역할(예: 수퍼바이저 프로파일)에 액세스하는 데 필요한 권한을 부여할 수 있습니다. 기존 EJBROLE 프로파일(Managers)을 그룹화 클래스 프로파일(Supervisors)에 추가하면 관리 작업을 피할 수도 있습니다.
GEJBROLES를 구현할 때 고려사항:
  • RACF 클래스 GEJBROLE에 조직 역할 프로파일을 계획합니다.
  • 사용자 그룹을 GEJBROLE 프로파일에 허용하여 액세스 목록을 작성한 다음 GEJBROLE 프로파일에 역할을 추가합니다.
  • 하나의 EJBROLE만 있는 GEJBROLE만 허용됩니다.
  • 사용자를 역할에 허용하기 위해 EJBROLE과 GEJBROLE을 함께 사용하지 마십시오.
  • 가능한 경우 사용자를 GEJBROLE 프로파일에만 허용하십시오.
  • 일반적으로 EJBROLE에 대한 참조에 GEJBROLE을 사용하십시오.

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ejbroleandg
파일 이름:csec_ejbroleandg.html