[z/OS]

Considerações de Segurança Usando Adaptadores Locais Otimizados com o IMS

Este tópico revisa considerações para segurança usando adaptadores locais otimizados com o IMS.

As APIs de adaptadores locais otimizados podem ser usadas nos seguintes ambientes de regiões dependentes do IMS:
  • MPR (MPPs)
  • Fast Path (IFPs)
  • Batch Message Processing (BMPs)
  • DL/I em Lote
O processo de registro requer que o ID do usuário no encadeamento atual, ou TCB na região dependente, esteja autorizado ou, pelo menos, tenha acesso READ à classe CBIN do System Authorization Facility (SAF) para o servidor do WebSphere Application Server de destino. O registro é necessário antes de você enviar qualquer outro pedido para o WebSphere Application Server.

Existem várias maneiras em que a identidade do usuário está associada à tarefa atual do IMS e a seu TCB. Para BMPs, o ID do usuário da tarefa é a identidade que requer acesso à classe CBIND. Para IFPs e MPPs, a identidade do usuário no TCB pode ser configurada de outra maneira. Se a macro SECURITY para o ambiente IMS especificar SECLVL=(TRANAUTH,SIGNON), o ID do usuário fornecido na conexão deverá estar no banco de dados SAF local e a autenticação do SAF ocorrerá. Além disso, o acesso de transação é verificado com o SAF.

Executando com estas opções, e usando o "Build Security Environment", a DFSBSEX0 de saída passa de volta um código de retorno 4 para IMS. Em seguida, o IMS assegura que o TCB no qual a transação é despachada seja sincronizado com o ID do SAF que foi autenticado.

O ID do usuário do usuário do aplicativo requer acesso de LEITURA à classe CBIND SAF do WebSphere Application Server para uma chamada bem-sucedida da API Registrar de adaptadores locais otimizados. As transações do IMS que são iniciadas a partir de responsáveis pela chamada usando o protocolo Open Transaction Manager Access (OTMA) usam o parâmetro OTMASE para determinar se o atual encadeamento/contexto de segurança TCB está atualizado. Configurando o parâmetro OTMASE para OTMASE=FULL, indica que a identidade passada pela chamada de cliente OTMA é a identidade do encadeamento de MPP ou IFP. Neste cenário, o ID do cliente requer acesso de LEITURA à classe CBIND.

Quando o trabalho de transação é transmitido do IMS para o WebSphere Application Server para z/OS, o ID do usuário é propagado para o contêiner EJB do WebSphere Application Server e asserido.

Ao usar os adaptadores locais otimizados para chamar transações do IMS sobre OTMA existentes inalteradas, a identidade do cliente WebSphere Application Server pode ser propagada para transações do IMS implementadas e asseridas em regiões dependentes do Message Processing (MPR) e do Fast Path (IFP). Para isso, certifique-se de que o servidor WebSphere esteja configurado para execução com a opção SyncToOS Thread ativada. Para ler mais sobre como ativar a opção SyncToOS Thread, consulte o tópico Opções de Segurança do z/OS. Quando SyncToOS Thread estiver ativado, certifique-se de que o parâmetro OTMASE para o ambiente IMS de destino esteja configurado como F, FULL. Com estas opções configuradas desta maneira, a identidade do usuário no ambiente WebSphere Application Server é propagada para um IMS MPP ou IFP e asserida. Isto não se aplica a regiões dependentes de Batch Message Processing (BMP).

Evitar Problemas Evitar Problemas: Você deve configurar um perfil BBO.SYNC se estiver usando SAF. Consulte o tópico Classes e perfis do System Authorization Facility para uma descrição de como configurar um perfil BBO.SYNC.gotcha

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cdat_olasecurityimsconsid
Nome do arquivo: cdat_olasecurityimsconsid.html