![[z/OS]](../images/ngzos.gif)
z/OS SAF(System Authorization Facility) 권한
이 페이지에서 SAF(System Authorization Facility) 및 SAF 권한 특성을 구성할 수 있습니다.
- 를 클릭하십시오.
- 권한 제공자의 드롭 다운 목록에서 SAF(System Authorization Facility)를 선택하십시오.
- 구성 단추를 클릭하십시오.
- 인증 메커니즘이 LTPA(Lightweight Third Party Authentication)이면 유효한 z/OS 프린시펄(예: WEB_INBOUND, RMI_INBOUND, DEFAULT)로의 맵핑을 포함하도록 다음 구성 항목을 모두 업데이트할 것을 권장합니다.
- 인증 메커니즘이 SWAM(Simple WebSphere Authentication Mechanism)이면 유효한 z/OS 프린시펄로의 맵핑을 포함하도록
SWAM 구성 항목을 업데이트해야 합니다. 참고: SWAM은 더 이상 사용되지 않고 이후 릴리스에서는 제거됩니다.
인증되지 않은 사용자, SAF 권한 및 SAF EJBROLE 메시지 제한의 공통 특성은 더 이상 사용자 정의 특성이 아닙니다.
이 옵션을 선택하는 경우, WebSphere Application Server는 z/OS 보안 제품에 저장된 권한 정책을 권한에 사용합니다.
인증되지 않은 사용자 ID
SAF 권한이 지정되었거나 로컬 운영 체제 레지스트리가 구성된 경우, 비보호 서블릿 요청을 표시하는 데 사용되는 MVS™ 사용자 ID를 지정합니다. 이 사용자 ID의 길이는 최대 8자여야 합니다.
- 비보호 서블릿이 엔티티 Bean을 호출하는 경우의 권한
- res-auth=container인 경우 현재 ID를 사용하는 z/OS 커넥터(CICS®(Customer Information Control System), IMS™(Information Management System))를 호출하기 위한 비보호 서블릿의 식별을 위해
- 애플리케이션에서 초기화된 Synch 대 OS 스레드 기능이 시도된 경우
- "OS 스레드에 동기화 허용 애플리케이션 이해"
- "OS 스레드에 동기화 허용을 사용 시기"
SAF 프로파일 맵퍼
Java™ Platform, Enterprise Edition(Java EE) 역할 이름을 맵핑할 SAF EJBRole 프로파일의 이름을 지정합니다. 지정한 이름은 com.ibm.websphere.security.SAFRoleMapper 인터페이스를 구현합니다.
기본 SAF 역할 맵퍼 구현인 com.ibm.ws.security.zOS.authz.SAFRoleMapperImpl 구현은 초기에 구성됩니다. 이 초기 구성은 백분율(%), 앰퍼샌드(&), 별표(*), 공백 문자 및 파운드(#) 문자와 같은 SAF 역할 이름에서 허용되지 않는 모든 문자를 맵핑합니다.
자세한 정보는 사용자 정의 SAF EJB 역할 맵퍼 개발의 내용을 참조하십시오.
SAF 위임 사용 가능
사용자가 RunAs 지정 역할을 선택하는 경우 활성 ID가 되는 MVS 사용자 ID가 SAF EJBROLE 정의에 지정되도록 지정합니다.
SAF 위임 사용 가능 옵션은 외부 권한 제공자로 SAF 권한 사용 가능 옵션을 선택하는 경우에만 선택하십시오.
APPL 프로파일을 사용하여 애플리케이션 서버에 대한 액세스를 제한하십시오.
APPL 프로파일을 사용하여 WebSphere Application Server에 대한 액세스를 제한하십시오.
SAF 프로파일 접두부를 정의한 경우, 사용된 APPL 프로파일은 프로파일 접두부입니다. 그렇지 않으면, APPL 프로파일 이름은 CBS390입니다. WebSphere 서비스를 사용하는 모든 z/OS ID는 APPL 프로파일에 대한 READ 권한이 있어야 합니다. 여기에는 모든 WebSphere Application Server ID, WebSphere Application Server 인증되지 않은 ID, WebSphere Application Server 관리 ID, 역할 대 사용자 맵핑을 기반으로 하는 사용자 ID 및 시스템 사용자의 모든 사용자 ID가 포함됩니다. APPL 클래스가 z/OS 시스템에서 활성화되지 않으면, 이 특성은 값과 관계 없이 영향을 미치지 않습니다.
정보 | 값 |
---|---|
기본값: | 사용 가능. |
z/OS 보안 제품의 권한 실패 메시지 억제
ICH408I 메시지를 켤지 여부를 지정합니다. 이 설정의 기본값은 false(선택 취소됨)로, 메시지를 억제하지 않습니다.
- 선언적 검사는 웹 애플리케이션에서 보안 제한으로 코딩되고 배치 디스크립터는 EJB(Enterprise JavaBean) 파일에서 보안 제한으로 코딩됩니다.
- 프로그램 로직 검사 또는 액세스 검사는 엔터프라이즈 Bean의 경우 프로그램식 isCallerinRole(x) 메소드 또는 웹 애플리케이션의 경우 isUserInRole(x) 메소드를 사용하여 수행됩니다.

- SMF 감사 레코드 계획이 Default 로 설정된 경우 관리 역할 메시지 제한을 원하지 않으면, com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin 특성을 false로 설정하십시오. 이 특성에 지정된 값은 관리 역할의 메시지 제한을 관리하는 다른 설정을 대체합니다.
- Tivoli® Access Manager 또는 z/OS용 SAF와 같은 써드파티 권한을 사용하는 경우, 관리 콘솔 패널의 정보가 제공자의 데이터를 나타내지 않을 수 있습니다. 또한 분할창의 모든 변경사항이 자동으로 제공자에 반영되지 않을 수 있습니다. 제공자의 지시사항에 따라 제공자의 모든 변경사항을 전달하십시오.
SAF 권한에 대한 자세한 내용은 Information Center의 "로컬 OS 레지스트리 사용 시 콘솔 사용자로의 액세스 제어"를 참조하십시오. 관리 역할에 대한 자세한 내용은 Information Center의 "관리 역할"을 참조하십시오.
정보 | 값 |
---|---|
기본값: | 사용 불가능(메시지를 표시하지 않음) |
SMF 감사 레코드 계획
감사 레코드를 SMF(System Management Facility)에 기록할 시점을 판별합니다. 각각의 권한 호출에서 RACF® 또는 동등한 SAF 기반 제품은 감사 레코드를 권한 검사 결과와 함께 SMF에 기록할 수 있습니다.
z/OS용 WebSphere Application Server는 SAF RACROUTE AUTH 및 RACROUTE FASTAUTH 조작을 사용하며 보안 구성에 지정된 LOG 옵션을 전달합니다. 옵션은 DEFAULT, ASIS, NOFAIL 및 NONE입니다.
- DEFAULT
사용자가 일련의 역할 중 하나여야 하는 등의 복수의 역할 제한조건을 지정할 경우, 마지막 역할을 제외한 모든 역할을 NOFAIL 옵션으로 검사해야 합니다. 마지막 역할 이전 역할 중 하나에 권한을 부여하면, WebSphere Application Server가 권한 부여 성공 레코드를 작성합니다. 해당 역할에서 권한 부여가 성공하지 않을 경우, ASIS 로그 옵션으로 마지막 역할을 검사합니다. 사용자에게 마지막 역할에 권한이 부여된 경우, 성공 레코드를 작성할 수 있습니다. 사용자에게 권한이 부여되지 않은 경우, 실패 레코드를 작성할 수 있습니다.
- ASIS
- 자원을 보호하는 프로파일에 지정된 방법으로 또는 SETROPTS 옵션에 의해 지정된 방법으로 감사 이벤트가 기록되도록 지정합니다.
- NOFAIL
- 장애를 기록하지 않도록 지정합니다. 권한 부여 실패 메시지는 발행되지 않지만, 권한 부여 성공 감사 레코드를 작성할 수도 있습니다.
- NONE
- 성공 또는 실패를 기록하지 않도록 지정합니다.
여러 SAF 권한 부여 호출을 수행한 경우에도 실패한 Java EE 권한 검사에 대해 하나의 권한 부여 실패 레코드만 작성합니다. SAF RACROUTE 호출의 LOG 옵션에 대한 자세한 정보는 RACF 또는 동등한 SAF 기반 제품 문서를 참조하십시오. 또한 자원 권한 처리 중에 RACROUTE 매크로와 SAF API에 대한 WebSphere Application Server 호출의 SMF 감사가능성에 대한 추가 정보는 감사 지원 주제를 참조할 수 있습니다.
SAF 프로파일 접두부
Java EE 역할에 사용되는 모든 SAF EJBROLE 프로파일 앞에 추가될 접두부를 지정합니다. 또한 이 접두부는 APPL 프로파일 이름으로 사용되며 CBIND 점검에 사용되는 프로파일 이름에 삽입됩니다. SAF 프로파일 접두부 필드에 대한 기본값이 없습니다. 접두부가 명시적으로으로 지정되지 않으면, 접두부는 SAF EJBROLE 프로파일에 추가되지 않고 CBS390의 기본값은 APPL 프로파일 이름으로 사용되며 CBIND 점검에 사용되는 프로파일 이름에 아무것도 삽입되지 않습니다.
APPL 프로파일을 사용하여 WebSphere Application Server에 대한 액세스를 제한할 수 있습니다.
SAF 프로파일 접두부를 정의한 경우, 사용된 APPL 프로파일은 프로파일 접두부입니다. 그렇지 않으면, APPL 프로파일 이름은 CBS390입니다. WebSphere 서비스를 사용하는 모든 z/OS ID는 APPL 프로파일에 대한 READ 권한이 있어야 합니다. 여기에는 모든 WebSphere Application Server ID, WebSphere Application Server 인증되지 않은 ID, WebSphere Application Server 관리 ID, 역할 대 사용자 맵핑을 기반으로 하는 사용자 ID 및 시스템 사용자의 모든 사용자 ID가 포함됩니다. APPL 클래스가 z/OS 시스템에서 활성화되지 않으면, 이 특성은 값과 관계 없이 영향을 미치지 않음에 유의하십시오.