![[z/OS]](../images/ngzos.gif)
Identidade de Encadeamento de Conexão
O servidor de aplicativos para z/OS permite designar um identificador de encadeamento como proprietário de uma conexão, quando você obtém a conexão pela primeira vez. A função de identidade de encadeamento só se aplica a adaptadores de recursos Java™ Platform, Enterprise Edition (Java EE) Connector Architecture (JCA) e a provedores JDBC (Java Database Connectivity) agrupados pelo RRA (Relational Resource Adapter) que suportam o uso de identidade de encadeamento para propriedade de conexão.
Neste artigo, o termo identidade de encadeamento se refere à identidade Java EE (como a identidade RunAs), de modo contrário à identidade de encadeamento do OS. Consulte o tópico Sincronizando uma Identidade do Encadeamento Java e uma Identidade do Encadeamento do Sistema Operacional e o tópico Entendendo a Identidade RunAs do Gerenciador de Conexões Ativada e a segurança do sistema operacional para obter informações adicionais.
A tabela a seguir lista os processos do adaptador de recursos JCA e do provedor JDBC que suportam identidade de encadeamento e segurança de encadeamento. Também fornece o nível de suporte à identidade de encadeamento:
Conectores | Suporte à identidade de encadeamento | Segurança do encadeamento do S.O. |
---|---|---|
IMS Connector - configuração local ConnectionFactory | ALLOWED | Não-suportado |
IMS Connector - configuração remota ConnectionFactory | NOTALLOWED | Não-suportado |
CTG CICSECIConnector - configuração local ConnectionFactory | ALLOWED | Não-suportado |
CTG CICSECIConnector - configuração remota ConnectionFactory | NOTALLOWED | Não-suportado |
IMS JDBC Connector - configuração local ConnectionFactory (Por padrão, o IMS JDBC suporta apenas esse tipo de configuração.) | REQUIRED | Verdadeiro |
Provedor JDBC local RRA DB2 para z/OS - origens de dados configuradas para o DB2 local | ALLOWED | Verdadeiro |
RRA DB2 Universal JDBC Driver Provider utilizando conectividade Tipo 2 | ALLOWED | Verdadeiro |
RRA DB2 Universal JDBC Driver Provider utilizando conectividade Tipo 4 | NOTALLOWED | Não-suportado |
WebSphere MQ JMS Provider: Connection Factory (TransportType = BINDINGS) | ALLOWED | Verdadeiro |
WebSphere MQ JMS Provider - Connection Factory (TransportType = CLIENT) | NOTALLOWED | Não-suportado |
WebSphere JMS Provider (como o Integral JMS Provider): Connection Factory | NOTALLOWED | Não-suportado |
O WebSphere Application Server para z/OS permite que adaptadores de recursos e provedores JDBC definam o nível de suporte de identidade de encadeamento para origens de dados e connection factories definidos. O nível de suporte pode ser:
- ALLOWED, que indica que a identidade de encadeamento para a propriedade da conexão é permitida para essa configuração.
- NOTALLOWED, que indica que a identidade de encadeamento para a propriedade da conexão não é permitida para essa configuração.
- REQUIRED, que indica que a identidade de encadeamento para a propriedade da conexão é exigida.
A função de identidade de encadeamento só está disponível naquelas configurações de servidor em que conectores JCA ou provedores JDBC acessam recursos locais do z/OS utilizando interfaces que podem ser chamadas (não TCP/IP). Assim, por exemplo, CICS e IMS fornecerão suporte de identidade de encadeamento somente se o CICS ou o IMS de destino estiver configurado no mesmo sistema que o z/OS WebSphere Application Server.
Para utilizar a identidade de encadeamento quando se obtiver conexões para uma connection factory ou origem de dados JDBC para seu aplicativo, especifique resauth=Container para a connection factory ou a origem de dados JDBC. Utilize a ferramenta de montagem do Eclipse ou o WSADIE (WebSphere Studio Application Developer Integration Edition) para indicar a configuração resauth=Container.
Quando o nível de suporte à identidade do encadeamento fornecido pela configuração do conector for ALLOWED, se você quiser utilizar a identidade do encadeamento das conexões, não poderá especificar um alias gerenciado pelo contêiner quando definir a connection factory ou a origem de dados JDBC. Se você especificar um alias gerenciado pelo contêiner, o id do usuário definido pelo alias será atribuído como o id proprietário das conexões obtidas pelo aplicativo.
Quando o provedor JDBC suporta a identidade do encadeamento, a função dessa identidade é utilizada apenas quando as origens de dados configuradas para esse provedor são utilizadas pelos módulos EJB Versão 2.0 e servlets Versão 2.3.
O WebSphere Application Server para z/OS também permite que adaptadores de recursos e provedores JDBC suportados ativem a segurança de encadeamento do OS em conjunto com o suporte de identidade de encadeamento. Você pode utilizar a segurança de encadeamento de S.O. quando:
- A configuração do servidor suportar a identidade do encadeamento e a segurança de encadeamento.
- A propriedade Gerenciador de Conexões Ativado para Identidade RunAs é ativada.
Você pode configurar o servidor para permitir o suporte do Gerenciador de Conexões Ativado para Identidade RunAs. Para ativar essa opção, clique em Ativar a identidade de encadeamento RunAs do gerenciador de conexão e clique em Aplicar.
no console administrativo. No painel de opções de segurança do z/OS, selecione a opção - O produto de segurança z/OS permite sincronização da identidade de encadeamento do gerenciamento de conexão por meio da classe BBO.SYNC FACILITY ou da classe BBO.SYNC SURROGATE
Se essas condições forem atendidas, o sistema criará um ACEE (Access Control Environment Element) para o usuário associado ao encadeamento.
Usuários de versões anteriores do WebSphere Application Server para z/OS notarão que as instruções para ativar a Segurança de Encadeamento do OS foi alterada. Anteriormente, a Segurança de Encadeamento do S.O. era ativada por meio de uma caixa de opções Ativar Sincronização para Encadeamento. Essa caixa de opções ainda existe, mas não está mais associada a qualquer funcionalidade do Gerenciamento de Conexões. Os usuários que querem ativar a Segurança de Encadeamento do S.O. devem agora utilizar a caixa de opções denominada Identidade RunAS do Connection Manager Ativada.