![[z/OS]](../images/ngzos.gif)
Considerações de Segurança para WebSphere Application Server para z/OS
Funções Suportadas no WebSphere Application Server para z/OS
O WebSphere Application Server para z/OS suporta as funções a seguir.
Função | Informações Adicionais |
---|---|
EJB RunAs | Para obter informações adicionais, consulte Delegações. |
RunAs para Servlets | Para obter informações adicionais, consulte Delegações. |
Protocolos IIOP baseados em SAF | Para obter informações adicionais, consulte Configuração do Common Secure Interoperability Versão 2 e do cliente Security Authentication Service (SAS). |
Recursos de conector do z/OS | Para obter informações adicionais, consulte Resource Recovery Services (RRS). |
Segurança Administrativa | Para obter informações adicionais, consulte Segurança Administrativa. |
Segurança do Aplicativo | Para obter informações adicionais, consulte Segurança do Aplicativo. |
Java 2 security | Para obter informações adicionais, consulte Segurança do Java 2. |
Desative a segurança | Para obter informações adicionais, consulte Desativando a Segurança Administrativa. |
Conjuntos de chaves do SAF | Para obter informações adicionais, consulte Utilizando Anéis de Chaves do System Authorization Facility com o Java Secure Sockets Extension. |
Funções de autenticação | Exemplos de função de autenticação: Básica, SSL certificados digitais, login com base em formulário, restrições de segurança, interceptor de associação confiável |
Recursos de segurança J2EE | Para obter informações adicionais, consulte Visão Geral da Tarefa: Protegendo Recursos. |
Autenticação de Web (LTPA) | Para obter informações adicionais, consulte Configurando o Mecanismo Lightweight Third Party Authentication. |
IIOP utilizando LTPA | Para obter informações adicionais, consulte Lightweight Third Party Authentication. |
Ligações de Aplicativos do WebSphere | Ligações de aplicativos do WebSphere podem ser utilizadas para fornecer mapeamentos de função ao usuário. |
Sincronização para Encadeamento do S.O. | Para obter informações adicionais, consulte Identidade de Encadeamento Java e Identidade de Encadeamento do Sistema Operacional. |
Registros SAF | Para obter informações adicionais, consulte Selecionando um Registro ou Repositório. |
Declaração de Identidade | Para obter informações adicionais, consulte Asserção de identidade. |
Protocolos de autenticação | Exemplo: z/SAS,
CSIV2 Para obter informações adicionais, consulte Suporte ao Protocolo de Autenticação. |
Compatibilidade com CSIv2 nível "0" | Para obter informações adicionais, consulte Visão Geral do Planejamento de Segurança. |
Extensões do WebSphere do modelo de programação JAAS | Para obter informações adicionais, consulte Usando o Modelo de Programação Java Authentication and Authorization Service para Autenticação de Web. |
Mapeamento de Identidade Distribuída Usando SAF | Para obter informações adicionais, consulte Mapeamento de Identidade Distribuída Usando SAF |
Todos os WebSphere Application Servers básicos fornecem as seguintes funções:
- Utilização de RunAs: Utilize RunAs para alterar a identidade do responsável por uma chamada, do servidor ou da função. Agora essa designação faz parte da especificação do servlet.
- Suporte de protocolos de autenticação IIOP baseado em SAF: O WebSphere Application Server, Network Deployment usa o Secure Authentication Service (SAS) para autenticação do Internet Inter-ORB
Protocol (IIOP). O z/OS tem sua própria versão do SAS chamada z/OS Secure Authentication
Services (z/SAS) (com funções semelhantes, mas mecanismos diferentes), e trata funções
como segurança local, autorização baseada em SSL (Secure Sockets Layer),
certificados digitais com mapeamento SAF (System Authorization Facility) e asserção de
identidade SAF.Importante: O z/SAS é suportado somente entre os servidores Versão 6.0.x e anterior que foram associados a uma célula Versão 6.1.
- Autorização baseada em SAF e capacidade de RunAs: Utilize perfis SAF (EJBROLE) para informações de segurança de permissão e delegação.
- Suporte para recursos de conector do z/OS: em vez de usar um alias no qual um ID do usuário e uma senha são armazenados, a capacidade de propagar identidades do S.O. local é suportada.
- Suporte ao anel de chaves SAF para HTTP e IIOP: Utilize SystemSSL para HTTP, IIOP e suporte ao anel de chaves SAF. Também é possível utilizar JSSE.
- Funções de autenticação: Os mecanismos de Autenticação da Web, como básico, certificados digitais SSL, login com base em formulário, restrições de segurança e interceptor de associação confiável oferecem a mesma funcionalidade na Versão 9.0 que a oferecida na Versão 5.
- Autorização para recursos J2EE: a autorização para recursos Java 2 Platform, Enterprise Edition (J2EE) utiliza funções semelhantes às utilizadas na Versão 4, e essas funções são usadas como descritores.
- Ativação de segurança: A segurança pode ser ativada ou desativada globalmente. Quando o servidor é iniciado há algum nível de segurança ativo, mas a segurança está desativada até que o administrador a configure.
- Autenticação da Web utilizando LTPA e SWAM: Conexão Única (SSO) utilizando
LTPA (Lightweight Third Party Authentication) ou SWAM (Simple WebSphere Authentication
Mechanism) é suportada.Nota: SWAM foi descontinuado no WebSphere Application Server Versão 9.0 e será removido em um release futuro.
- Autenticação de IIOP utilizando LTPA: A autenticação de IIOP utilizando LTPA é suportada.
- WebSphere Application Bindings for Authorization: O WebSphere Application Bindings for Authorization agora é suportado.
- Sincronização para Encadeamento do S.O.: A sincronização do aplicativo para o Encadeamento do S.O. é suportada.
- Segurança de nomenclatura baseada em função do J2EE: As funções J2EE são utilizadas para proteger o acesso ao espaço de nomes. As novas funções e tarefas são cosNamingRead, cosNamingWrite, cosNamingCreate e cosNamingDelete.
- Segurança administrativa baseada em função: As funções que delimitam a segurança
são:
- Monitor (mínima autorização e é somente leitura)
- Operador (pode fazer alterações em tempo de execução)
- Configurador (pode monitorar e tem privilégios de configuração)
- Administrador (na maioria das autorizações)
- Implementador (utilizado por wsadmin para ações de configuração e operações de tempo de execução em aplicativos)
- Adminsecuritymanager (pode mapear usuários para funções administrativas e gerenciar grupos de autorização)
Para obter informações adicionais sobre as funções administrativas, consulte Funções Administrativas>.
Comparando o WebSphere Application Server para z/OS com Outras Plataformas WebSphere Application Server
Uma semelhança-chave:
- Modelo de segurança que pode ser conectado: esse modelo pode ser autenticado
no IIOP CSIv2 (Common Secure Interoperability Versão 2),
no Web Trust Authentication, nos Conectores JMX (Java Management
Extensions) ou no modelo de programação JAAS (Java Authentication and Authorization Service). Você deve:
- Determinar qual registro é apropriado e quais mecanismos de autenticação (token) são necessários
- Determine se o registro é local ou remoto e quais autorizações da Web devem ser usadas - autorizações da Web incluem Mecanismo de autenticação simples do WebSphere (SWAM) e Lightweight Third-Party Authentication (LTPA)Nota: SWAM foi descontinuado no WebSphere Application Server Versão 9.0 e será removido em um release futuro.
As diferenças principais incluem:
- Registros SAF: os registros do sistema operacional local fornecem excelente funcionalidade no z/OS, porque o z/OS se estende a um sysplex, não a um único servidor. O z/OS fornece certificado para funções de mapeamento de usuário, autorização e delegação.
- Asserção de identidade: Utilize servidores de confiança ou CBIND para obter a autorização necessária para o servidor que está fazendo a asserção. Uma plataforma distribuída exige que um servidor seja colocado na lista de servidores de confiança. O z/OS requer um ID do servidor para ter uma autorização CBIND específica. Os tipos de Asserção são ID do usuário SAF, DN (Nome Distinto) e certificado de cliente SSL.
- Protocolos de autenticação zSAS e SAS para clientes IIOP: o z/SAS difere do SAS porque suporta RACF PassTickets. A camada SAS no WebSphere Distributed utiliza interceptores CORBA (Common Object Request Broker Architecture) portáveis para implementar seu Secure Association Service, e o z/OS não.
- Recursos CORBA: O z/OS não suporta
interfaces de segurança CORBA, incluindo os modelos CORBA atuais, LoginHelper, Credentials
e ServerSideAuthenticator. As funções do CORBA foram migradas para o JAAS.
A interface de programação de aplicativos (API) LoginHelp foi descontinuada em WebSphere Application Server Versão 9.0. Para obter informações adicionais, consulte Migrando o Login Programático do Common Object Request Broker Architecture para o Java Authentication and Authorization Service (CORBA e JAAS).
- Protocolos de autenticação: CSIv2 é uma especificação do OMG (Object Management Group) para o z/OS Security Server e é ativado automaticamente quando a segurança do WebSphere é ativada. Esta é uma abordagem de três camadas que envolve o SSL/TLS (Secure Sockets Layer Transport Layer Security) para proteção de mensagens, a camada de autenticação de cliente suplementar para ID do usuário e senha GSSUP (Generic Security Services Username Password) e a camada de atributo de segurança utilizada por servidores intermediários (que devem ser autorizados especialmente para o servidor de destino) para asserção de identidade.
Compatibilidade com J2EE 1.3
Ser compatível com J2EE envolve:
- Nível de conformidade com CSIv2 "0": essa é uma especificação do OMG (Object Management Group) (relacionada ao z/OS Security Server), que faz parte do que costumava ser o suporte CORBA. O CSIv2 é ativado automaticamente quando a segurança é ativada.
- Use da segurança Java 2: Há a "ativação de segurança" e a "ativação de segurança Java 2", e o padrão para Java2 é "on". Isto fornece um controle de acesso detalhado baseado em código em contraste com a autorização baseada em assunto. Cada classe pertence a um domínio específico. Permissões protegidas pela segurança Java 2 incluem acesso de arquivo, acesso de rede, soquetes, saída da JVM (Java virtual machine), administração de propriedades e encadeamentos. O gerenciador de segurança é o que Java 2 utiliza como mecanismo para gerenciar a segurança e impor as proteções necessárias. Extensões à segurança Java 2 incluem o uso de política dinâmica (permissões baseadas em tipo de recurso, não baseadas em código), uso de permissões padrão específicas definidas para recursos em perfis de modelo e uso de arquivos de filtro para desativação de política.
- Uso de programação J2EE: A programação J2EE inclui um conjunto padrão de APIs para autenticação. JAAS é o mecanismo estratégico de autorização e autenticação. IBM® Developer Kit for Java Technology Edition, Versão 5 é enviado com o WebSphere Versão Versão 9.0, mas algumas extensões são fornecidas.
- Uso da função RunAs do servlet: WebSphere Application Server em plataformas distribuídas (não a plataforma z/OS) refere-se a essa função como Política de Delegação. É possível alterar a identidade para executar como um sistema, responsável pela chamada, ou função (usuário). Essa função agora faz parte da especificação de servlet. A autenticação envolve a utilização de um ID de usuário e uma senha e, em seguida, o mapeamento do alias para o arquivo XML apropriado ou EJBROLE para localizar o ID do usuário da função RunAs.
Conformidade com o WebSphere Application Server, Network Deployment no Nível da API/SPI
A conformidade com o WebSphere Application Server, Network Deployment no nível da Interface de Programação de Aplicativos ou da Interface de Programação do Provedor de Serviços (API/SPI) facilita a implementação de aplicativos a partir do WebSphere Application Server, Network Deployment no z/OS.
Recursos avançados ou descontinuados pelo WebSphere Application Server, Network Deployment foram aprimorados ou descontinuados pelo z/OS. Entretanto, isso não significa que não haja
migração para clientes do z/OS. A conformidade com o WebSphere WebSphere Application Server, Network Deployment no nível da API/SPI inclui:
- Extensões do WebSphere Application Server para o modelo de programação JAAS: O modelo de autorização é uma extensão do modelo de segurança Java 2 para programação JAAS (portanto, ele funciona com o modelo J2EE). A autorização baseada em assunto é executada em IDs de usuários autenticados. Em vez de simplesmente efetuar login com um ID do usuário e senha, agora é preciso passar por um processo de login que inclui criar um contexto de login, transmitir rotinas de tratamento de retorno de chamada que solicitam o ID do usuário e a senha e efetuar o login. O WebSphere Application Server para z/OS fornece o módulo de login, o manipulador de retorno de chamada para recuperar os dados necessários, os retornos de chamada, a opção WSSubject, getCallerSubject e getRunAsSubject.
- Uso as APIs de segurança do WebSphere Application Server: O z/OS suporta as APIs de segurança do WebSphere Application Server.
- Uso de conectores JMX: Os conectores JMX podem ser utilizados com credenciais de ID do usuário e de senha. Os dois tipos de conectores são RMI e SOAP/HTTPS (e são para administração). O conector SOAP utiliza os repertórios SSL de JSSE. O conector RMI está sujeito às mesmas vantagens e restrições que os mecanismos de IIOP (tais como CSIv2).