![[z/OS]](../images/ngzos.gif)
Identidade do Java Platform, Enterprise Edition e Identidade de Encadeamento do Sistema Operacional
Um usuário é identificado utilizando uma identidade que deve ser autenticada pelo WebSphere Application Server para acessar um aplicativo WebSphere Application Server em um ambiente seguro.
- Identidades do Usuário
- Identidade do Java EE
- A identidade do usuário autenticada pelo WebSphere e utilizada para decisões de controle de acesso tomadas pelo WebSphere Application Server no tempo de execução do Java Platform, Enterprise Edition (Java EE) (como a identidade do usuário associada a um pedido do aplicativo Java EE e utilizada em decisões de controle de acesso de permissão de método do EJB).
- Identidade do S.O. (Sistema Operacional)
- A identidade do usuário autenticada pelo sistema operacional subjacente e utilizada para decisões de controle de acesso tomadas pelo S.O. e seus subsistemas (como a identidade do usuário associada a um empregado do WebSphere Application Server para z/OS pelo recurso de classe STARTED do SAF e utilizada pelo sistema de arquivos para decisões de controle de acesso quando o servidor tentar acessar os arquivos).
- Identidade de Encadeamento
- Identidade do encadeamento Java
- A identidade do Java EE atualmente associada a um encadeamento Java gerenciado pelo tempo de execução do WebSphere Java EE (um encadeamento Java é a representação JVM (Java Virtual Machine) de um encadeamento). A identidade do encadeamento Java está associada a um encadeamento do S.O. (sistema operacional), mas o JVM gerencia a identidade do usuário na representação Java do encadeamento - separada da identidade do usuário que o sistema operacional gerencia no encadeamento do sistema operacional. A identidade do Java EE é atual no encadeamento Java para a vida de um determinado pedido do aplicativo
- Identidade de encadeamento de S.O.
- A identidade do sistema operacional atualmente associada ao encadeamento do sistema operacional. A identidade do encadeamento do S.O. é geralmente a identidade do encadeamento do S.O. designada ao empregado e normalmente não é a mesma da identidade do encadeamento Java. Observe que o Java EE maintém uma identidade do Java EE que corresponde à identidade do encadeamento do S.O. designada ao empregado. Essa identidade do Java EE pode ser utilizada como uma identidade RunAs.
- Identidade RunAs
- A identidade do Java EE escolhida como a identidade do encadeamento Java para um determinado pedido do aplicativo
Java EE (com base na política do descritor de implementação
RunAs em um EJB (Enterprise JavaBeans)
chamada de dentro do pedido do aplicativo Java EE). A identidade do Java EE
é normalmente a identidade do usuário autenticado que fez o pedido do aplicativo Java EE. A política RunAs do WebSphere Application Server permite três opções ao
designar a identidade do encadeamento Java para o pedido atual:
- Designe a identidade do cliente Java EE (por exemplo, usuário) - também conhecido como selecionar RunAs of Caller
- Designar a identidade do Java EE do servidor
- Designar a identidade do Java EE que está na função especificada
Quando a segurança estiver ativada, cada pedido do WebSphere Application Server para z/OS que chama um componente do Java EE é autenticado para garantir que um usuário autorizado esteja solicitando acesso. Um usuário é representado por uma identidade do Java EE (também chamado de objeto JAAS). Essa identidade do Java EE contém um ou mais proprietários e cada proprietário corresponde a uma identidade do usuário específica. Essa associação é gerenciada pelo WebSphere Application Server. A identidade do Java EE e a identidade do encadeamento do S.O. do sistema operacional estão associadas entre si por terem o mesmo nome e representarem o mesmo usuário.
O WebSphere Application Server para z/OS faz o dispatch de pedidos do componente em um de seus processos de empregados disponíveis. Dentro do processo do empregado, o pedido do componente é feito por dispatch em um encadeamento Java. Um encadeamento Java é então mapeado internamente pelo JVM para um TCB (bloco de controle de encadeamento) z/OS. Um TCB é um encadeamento de sistema operacional e é considerado parte da infra-estrutura do processo nativo. Um processo servant possui uma identidade de S.O. atribuída a ele quando é iniciado. A política de segurança do z/OS utiliza o recurso da classe STARTED do SAF para designar a identidade.
As decisões de autorização do Java EE, incluindo a autorização de função e a verificação de permissão, são determinadas utilizando a identidade do Java EE. Definindo a configuração, é possível delegar a verificação de autorização da função para o gerenciador de segurança do sistema operacional subjacente (como SAF (System Authorization Facility)), nesse caso a identidade do S.O. (Sistema Operacional) associado é utilizada na decisão de autorização da função.
Alguns gerenciadores de recursos no z/OS utilizam a identidade do encadeamento do S.O. para tomar decisões de autorização. Por exemplo, o controle de acesso do sistema de arquivos é determinado inteiramente com base em qual identidade do encadeamento do S.O. está atualmente no TCB quando o arquivo é acessado. De forma semelhante, as conexões locais JDBC (Java Database Connectivity) para DB2 para z/OS utilizam a identidade do encadeamento do S.O. do TCB como a identidade de autorização sob determinadas configurações. Para os gerenciadores de recursos que usam a identidade do encadeamento de S.O., como o DB2 para z/OS (e ao contrário do sistema de arquivos) que são acessados pelos aplicativos por meio de Java Message Service (JMS), JDBC ou de conectores Java EE Connector Architecture (JCA) gerenciados pelo gerenciamento de conexões do WebSphere Application Server for z/OS, dizemos que os conectores ligados a esses gerenciadores de recursos do z/OS usam a segurança do encadeamento do sistema operacional.
- Identidade de Encadeamento Java e Identidade de Encadeamento do Sistema Operacional
- Identidade RunAs do Gerenciador de Conexões Ativadas e Segurança do Sistema
- Permitida Sincronização para Encadeamento do S.O. do Aplicativo
- Identidade do Encadeamento de Conexão
- Utilizando o Suporte à Identidade do Encadeamento