![[z/OS]](../images/ngzos.gif)
Considerações de Segurança Usando Adaptadores Locais Otimizados com o IMS
Este tópico revisa considerações para segurança usando adaptadores locais otimizados com o IMS.
- MPR (MPPs)
- Fast Path (IFPs)
- Batch Message Processing (BMPs)
- DL/I em Lote
Existem várias maneiras em que a identidade do usuário está associada à tarefa atual do IMS e a seu TCB. Para BMPs, o ID do usuário da tarefa é a identidade que requer acesso à classe CBIND. Para IFPs e MPPs, a identidade do usuário no TCB pode ser configurada de outra maneira. Se a macro SECURITY para o ambiente IMS especificar SECLVL=(TRANAUTH,SIGNON), o ID do usuário fornecido na conexão deverá estar no banco de dados SAF local e a autenticação do SAF ocorrerá. Além disso, o acesso de transação é verificado com o SAF.
Executando com estas opções, e usando o "Build Security Environment", a DFSBSEX0 de saída passa de volta um código de retorno 4 para IMS. Em seguida, o IMS assegura que o TCB no qual a transação é despachada seja sincronizado com o ID do SAF que foi autenticado.
O ID do usuário do usuário do aplicativo requer acesso de LEITURA à classe CBIND SAF do WebSphere Application Server para uma chamada bem-sucedida da API Registrar de adaptadores locais otimizados. As transações do IMS que são iniciadas a partir de responsáveis pela chamada usando o protocolo Open Transaction Manager Access (OTMA) usam o parâmetro OTMASE para determinar se o atual encadeamento/contexto de segurança TCB está atualizado. Configurando o parâmetro OTMASE para OTMASE=FULL, indica que a identidade passada pela chamada de cliente OTMA é a identidade do encadeamento de MPP ou IFP. Neste cenário, o ID do cliente requer acesso de LEITURA à classe CBIND.
Quando o trabalho de transação é transmitido do IMS para o WebSphere Application Server para z/OS, o ID do usuário é propagado para o contêiner EJB do WebSphere Application Server e asserido.
Ao usar os adaptadores locais otimizados para chamar transações do IMS sobre OTMA existentes inalteradas, a identidade do cliente WebSphere Application Server pode ser propagada para transações do IMS implementadas e asseridas em regiões dependentes do Message Processing (MPR) e do Fast Path (IFP). Para isso, certifique-se de que o servidor WebSphere esteja configurado para execução com a opção SyncToOS Thread ativada. Para ler mais sobre como ativar a opção SyncToOS Thread, consulte o tópico Opções de Segurança do z/OS. Quando SyncToOS Thread estiver ativado, certifique-se de que o parâmetro OTMASE para o ambiente IMS de destino esteja configurado como F, FULL. Com estas opções configuradas desta maneira, a identidade do usuário no ambiente WebSphere Application Server é propagada para um IMS MPP ou IFP e asserida. Isto não se aplica a regiões dependentes de Batch Message Processing (BMP).
