[z/OS]

Identidade do Java Platform, Enterprise Edition e Identidade de Encadeamento do Sistema Operacional

Um usuário é identificado utilizando uma identidade que deve ser autenticada pelo WebSphere Application Server para acessar um aplicativo WebSphere Application Server em um ambiente seguro.

Entendendo os diferentes tipos de identidades: O WebSphere Application Server autentica a identidade do usuário e representa o usuário com um Java™ Authentication and Authorization Service (JAAS) Subject. Um assunto contém um ou mais proprietários (que são representações dependentes de tecnologia da identidade do usuário autenticado). Mais detalhes são fornecidos a seguir:
Identidades do Usuário
Identidade do Java EE
A identidade do usuário autenticada pelo WebSphere e utilizada para decisões de controle de acesso tomadas pelo WebSphere Application Server no tempo de execução do Java Platform, Enterprise Edition (Java EE) (como a identidade do usuário associada a um pedido do aplicativo Java EE e utilizada em decisões de controle de acesso de permissão de método do EJB).
Identidade do S.O. (Sistema Operacional)
A identidade do usuário autenticada pelo sistema operacional subjacente e utilizada para decisões de controle de acesso tomadas pelo S.O. e seus subsistemas (como a identidade do usuário associada a um empregado do WebSphere Application Server para z/OS pelo recurso de classe STARTED do SAF e utilizada pelo sistema de arquivos para decisões de controle de acesso quando o servidor tentar acessar os arquivos).
Identidade de Encadeamento
Identidade do encadeamento Java
A identidade do Java EE atualmente associada a um encadeamento Java gerenciado pelo tempo de execução do WebSphere Java EE (um encadeamento Java é a representação JVM (Java Virtual Machine) de um encadeamento). A identidade do encadeamento Java está associada a um encadeamento do S.O. (sistema operacional), mas o JVM gerencia a identidade do usuário na representação Java do encadeamento - separada da identidade do usuário que o sistema operacional gerencia no encadeamento do sistema operacional. A identidade do Java EE é atual no encadeamento Java para a vida de um determinado pedido do aplicativo
Identidade de encadeamento de S.O.
A identidade do sistema operacional atualmente associada ao encadeamento do sistema operacional. A identidade do encadeamento do S.O. é geralmente a identidade do encadeamento do S.O. designada ao empregado e normalmente não é a mesma da identidade do encadeamento Java. Observe que o Java EE maintém uma identidade do Java EE que corresponde à identidade do encadeamento do S.O. designada ao empregado. Essa identidade do Java EE pode ser utilizada como uma identidade RunAs.
Identidade RunAs
A identidade do Java EE escolhida como a identidade do encadeamento Java para um determinado pedido do aplicativo Java EE (com base na política do descritor de implementação RunAs em um EJB (Enterprise JavaBeans) chamada de dentro do pedido do aplicativo Java EE). A identidade do Java EE é normalmente a identidade do usuário autenticado que fez o pedido do aplicativo Java EE. A política RunAs do WebSphere Application Server permite três opções ao designar a identidade do encadeamento Java para o pedido atual:
  1. Designe a identidade do cliente Java EE (por exemplo, usuário) - também conhecido como selecionar RunAs of Caller
  2. Designar a identidade do Java EE do servidor
  3. Designar a identidade do Java EE que está na função especificada

Quando a segurança estiver ativada, cada pedido do WebSphere Application Server para z/OS que chama um componente do Java EE é autenticado para garantir que um usuário autorizado esteja solicitando acesso. Um usuário é representado por uma identidade do Java EE (também chamado de objeto JAAS). Essa identidade do Java EE contém um ou mais proprietários e cada proprietário corresponde a uma identidade do usuário específica. Essa associação é gerenciada pelo WebSphere Application Server. A identidade do Java EE e a identidade do encadeamento do S.O. do sistema operacional estão associadas entre si por terem o mesmo nome e representarem o mesmo usuário.

O WebSphere Application Server para z/OS faz o dispatch de pedidos do componente em um de seus processos de empregados disponíveis. Dentro do processo do empregado, o pedido do componente é feito por dispatch em um encadeamento Java. Um encadeamento Java é então mapeado internamente pelo JVM para um TCB (bloco de controle de encadeamento) z/OS. Um TCB é um encadeamento de sistema operacional e é considerado parte da infra-estrutura do processo nativo. Um processo servant possui uma identidade de S.O. atribuída a ele quando é iniciado. A política de segurança do z/OS utiliza o recurso da classe STARTED do SAF para designar a identidade.

As decisões de autorização do Java EE, incluindo a autorização de função e a verificação de permissão, são determinadas utilizando a identidade do Java EE. Definindo a configuração, é possível delegar a verificação de autorização da função para o gerenciador de segurança do sistema operacional subjacente (como SAF (System Authorization Facility)), nesse caso a identidade do S.O. (Sistema Operacional) associado é utilizada na decisão de autorização da função.

Alguns gerenciadores de recursos no z/OS utilizam a identidade do encadeamento do S.O. para tomar decisões de autorização. Por exemplo, o controle de acesso do sistema de arquivos é determinado inteiramente com base em qual identidade do encadeamento do S.O. está atualmente no TCB quando o arquivo é acessado. De forma semelhante, as conexões locais JDBC (Java Database Connectivity) para DB2 para z/OS utilizam a identidade do encadeamento do S.O. do TCB como a identidade de autorização sob determinadas configurações. Para os gerenciadores de recursos que usam a identidade do encadeamento de S.O., como o DB2 para z/OS (e ao contrário do sistema de arquivos) que são acessados pelos aplicativos por meio de Java Message Service (JMS), JDBC ou de conectores Java EE Connector Architecture (JCA) gerenciados pelo gerenciamento de conexões do WebSphere Application Server for z/OS, dizemos que os conectores ligados a esses gerenciadores de recursos do z/OS usam a segurança do encadeamento do sistema operacional.


Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_understandj2eenativeid
Nome do arquivo: csec_understandj2eenativeid.html