[z/OS]

운영 체제 및 애플리케이션 레벨에 대한 SAF(System Authorization Facility) 고려사항

운영 체제 및 애플리케이션 레벨에 대해 SAF(System Authorization Facility) 권한 부여를 사용하는 경우 몇 가지를 고려해야 합니다.

WebSphere® Application Server for z/OS®를 사용하여 권한 부여는 두 개의 다른 레벨에서 발생할 수 있습니다.
  • 자원은 운영 체제 레벨에서 보호 가능합니다. 프로그램이 보호 자원에 액세스하는 경우 자원 관리자는 SAF 호출을 사용하여 보안 관리자, 일반적으로 RACF®가 권한 검사를 수행하도록 합니다.
  • 자원은 애플리케이션 레벨에서 보호 가능합니다. Java™ EE(Java Platform, Enterprise Edition) 애플리케이션이 보안 제한조건을 가지는 경우 컨테이너는 SAF 호출을 사용하여 보안 관리자(RACF)가 권한 검사를 수행하도록 합니다.

SAF 권한 부여가 사용되는 경우 모든 레벨의 권한 부여는 항상 운영 체제 보안 관리자(RACF 또는 동등 제품)에서 수행됩니다. 따라서 사용자가 보안 관리자(RACF) 사용자 ID로 권한 부여되는 것은 중요합니다. 자세한 정보는 제어 요약의 내용을 참조하십시오.

시스템 사용자 정의 중에 SAF 권한 부여가 선택되면 모든 관리 역할에 대한 관리 EJBROLE 프로파일은 z/OS 프로파일 관리 도구 또는 zpmt 명령을 사용하여 생성되는 RACF 작업으로 정의됩니다. SAF 권한 부여(SAF EJBROLE 프로파일을 사용하여 SAF 사용자 및 그룹을 역할이 지정)는 모든 사용자 레지스트리에 대한 권한 부여 메커니즘으로 사용 가능합니다. 관리 콘솔에서 SAF 권한 부여를 선택하면, 다른 권한 선택사항(예: Tivoli® Access Manager 권한)을 대체합니다.

로컬 운영 체제를 선택하지 않는 경우 두 옵션 중 하나를 사용하여 분산 ID를 SAF 사용자 ID에 맵핑해야 합니다. JAAS(Java Authentication and Authorization Service) 로그인 모듈을 설치 및 구성하여 맵핑을 수행하거나 WebSphere Application Server 버전 8.0에서 SAF 분산 ID 맵핑 기능을 사용할 수 있습니다.

SAF 권한 부여는 비로컬 운영 체제 레지스트리에 대해서도 지원됩니다. SAF를 설정하면 이는 기본 제공자가 되어 이름 지정 및 관리 기능을 처리합니다. SAF를 사용하면 기존 권한 부여 제공자가 됩니다.

자세한 정보는 레지스트리 또는 저장소 선택의 내용을 참조하십시오.

SAF 권한 부여를 사용하는 경우에는 SAF EJBROLE 프로파일을 사용하여 Java EE 역할을 강제 적용하십시오(프로파일 이름은 애플리케이션의 역할 이름). 추가로 모든 SAF EJBROLE 프로파일 이름 앞에 추가되는 8자 이하의 문자열인 SAF 프로파일 접두부를 정의할 수 있습니다. 자세한 정보는 다음 기사를 참조하십시오.
SAF 권한 부여가 사용되는 경우 모든 사용자 및 모두 인증됨 설정은 무시됩니다. 이 속성은 RACF에서 관리됩니다. 모든 사용자 및 모두 인증됨은 WebSphere Authorization이 사용되는 경우 이에 대해 사용됩니다.
모든 사용자
SAF 권한 부여가 사용되는 경우 SAF는 사용자 인증을 사용하여 웹 애플리케이션에 대한 액세스를 강제로 적용합니다. 모든 사용자 설정을 선택하면 레지스트리에 정의된 모든 사용자가 웹 애플리케이션에 사인온하고 주제(Subject) 또는 프린시펄이 인증됩니다.

WebSphere Application Server for z/OS는 기본(인증되지 않은) 사용자 ID 및 RESTRICTED 속성으로 정의된 ACCESS(READ) 액세스를 검사하는 ACEE를 사용합니다. 따라서 UACC(universal access authority)는 적용되지 않습니다. SAF가 ejbroles에 대해 인증을 강제 적용하지 않는 경우 모든 사용자가 특정 작업에 액세스할 수 있도록 하려면 기본(인증되지 않은) 사용자 ID ACCESS(READ) 액세스를 부여하여 인증되지 않고 실행되는 요청을 사용해야 하며 기본 사용자 ID ACCESS(READ) 액세스를 부여하지 않는 경우 RACF는 인증되지 않은 요청에 false를 리턴합니다.

모두 인증
사용자 레지스트리의 모든 이름이 웹 애플리케이션에 사인온할 수 있도록 허용할 수 있습니다(모든 사용자 이름은 사인온 시에 인증됨). 액세스 중인 프로파일에 UACC(READ)를 정의하고 기본 사용자 ID에 대해 RACF PERMIT 명령을 실행하지 않습니다.
참고: UACC는 RESTRICTED 속성으로 정의된 사용자에게는 적용되지 않습니다. 예를 들어, WebSphere 인증되지 않은 ID가 EJBROLE에 대해 READ 액세스를 가지도록 하려는 경우 UACC 설정에 상관없이 ID에 READ 권한을 명시적으로 부여해야 합니다.

로컬 OS 레지스트리를 사용하는 경우 콘솔 사용자에 대한 액세스를 제어할 수 있습니다.

SAF 권한 부여를 설정하도록 나중에 결정하는 경우 이 RACF 명령을 실행하여 적절한 WebSphere Application Server 조작을 사용해야 합니다. (다른 인증되지 않은 사용자 ID를 선택한 경우 구성된 기본 사용자 ID의 값을 변경하십시오.)


주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safauthz
파일 이름:csec_safauthz.html