![[z/OS]](../images/ngzos.gif)
Considerações do System Authorization Facility para os Níveis de Sistema Operacional e Aplicativo
Há algumas coisas a considerar ao ativar a autorização SAF (System Authorization Facility) para os níveis do sistema operacional e do aplicativo.
- Os recursos podem ser protegidos no nível do sistema operacional. Se um programa acessar um recurso protegido, o gerenciador de recursos utilizará uma chamada para SAF para permitir que o gerenciador de segurança, geralmente o RACF, execute a verificação de autorização.
- Os recursos pode ser protegidos no nível do aplicativo. Se um aplicativo Java™ Platform, Enterprise Edition (Java EE) tiver uma restrição de segurança, o contêiner utilizará uma chamada SAF para permitir que o gerenciador de segurança (RACF) execute uma verificação de autorização.
Quando a autorização SAF é ativada, a autorização em qualquer nível é sempre executada pelo gerenciador de segurança do sistema operacional (RACF ou um produto equivalente). Portanto, é essencial que os usuários sejam autenticados com um ID de usuário do gerenciador de segurança (RACF). Consulte Resumo de Controles para obter informações adicionais.
Quando a Autorização SAF é selecionada durante a customização de sistemas, os perfis administrativos EJBROLE para todas as funções administrativas são definidos pelas tarefas do RACF geradas com o uso da ferramenta z/OS Profile Management Tool ou do comando zpmt. A autorização do SAF (a utilização de perfis EJBROLE do SAF para designar usuários e grupos do SAF a funções) pode ser utilizada como um mecanismo de autorização para todos os registros de usuários. Se a autorização do SAF for selecionada no console administrativo, ela substituirá todas as outras opções de autorização (como a autorização do Tivoli Access Manager).
Se você não selecionar o sistema operacional local, será necessário mapear a identidade distribuída para um ID de usuário SAF usando uma entre duas opções. É possível configurar e instalar um módulo de login do Java Authentication and Authorization Service (JAAS) para executar o mapeamento ou, no WebSphere Application Server Versão 8.0, é possível usar o recurso de mapeamento de identidade distribuída SAF.
Observe que a autorização do SAF também é suportada para registros que não são do sistema operacional local. Se você ativar o SAF, ele irá torna-se o provedor padrão (manipulará funções de nomenclatura e de administração). Ative o SAF e ele será o provedor de autorização nativo.
Para obter informações adicionais, consulte Selecionando um Registro ou Repositório.
- Todos
- Quando a autorização SAF for ativada, o SAF usará a autenticação
do usuário para reforçar o acesso a aplicativos da Web. Se você
selecionar a configuração Todos, todos os usuários definidos no registro poderão assinar
no aplicativo da web, e os objetos ou principais serão autenticados.
O WebSphere Application Server for z/OS usa o ID do usuário padrão (não autenticado) e um ACEE que verifica o acesso de ACCESS( READ) definido com o atributo RESTRICTED. Portanto, a autoridade de acesso universal (UACC) não se aplica. Se, quando SAF não forçar a autenticação para ejbroles, você desejar que todos possam acessar uma determinada função, deve-se conceder o acesso de usuário padrão (não autenticado) ACCESS(READ) para permitir que uma solicitação não autenticada seja executada. Se você não conceder acesso ao ID do usuário padrão ACCESS(READ), RACF retornará false para uma solicitação não autenticada. .
- Todos os Usuários Autenticados
- É possível permitir qualquer nome no registro do usuário para
conectar ao aplicativo da Web (Todos nomes de usuário são
autenticados ao serem conectados).
Você deve definir UACC(READ)
no perfil que está sendo acessado e não emitir o comando RACF PERMIT para o ID do usuário padrão. Nota: A autoridade de acesso universal não se aplica aos usuários definidos com o atributo RESTRICTED. Por exemplo, se desejar que a identidade não autenticada do WebSphere tenha acesso READ a um EJBROLE, será necessário conceder explicitamente a permissão READ ao ID, independentemente da configuração UACC.
Ao utilizar um Registro de S.O. Local, é possível controlar o acesso aos usuários do console.
Se você decidir futuramente ativar a autorização do SAF, deverá emitir esses comandos RACF para ativar a operação apropriada do WebSphere Application Server. (Altere o valor do ID do usuário padrão configurado se tiver escolhido um ID de usuário não autenticado diferente).