![[z/OS]](../images/ngzos.gif)
Identidade de Encadeamento Java e Identidade de Encadeamento do Sistema Operacional
É possível especificar opções para sincronizar uma identidade de encadeamento Java™ e uma identidade de encadeamento do sistema operacional.
O EJB (Enterprise JavaBeans) suporta uma especificação de função RunAs no nível do método que associa uma função do Java Platform, Enterprise Edition (Java EE) a uma chamada do método EJB. O método EJB é executado usando a autoridade que está associada à função de segurança designada. A autoridade é mapeada para a função designada usando uma identidade do usuário. Normalmente, esta identidade é reconhecida pelo tempo de execução baseado na web e Java EE e está associada ao encadeamento de despacho atual. Essa identidade controla o acesso a apenas aqueles recursos e facilidades sujeitos à segurança do Java EE. A identidade do encadeamento do S.O. real não é afetada pela seleção da função RunAs do EJB e geralmente é a identidade do servidor.
Configurar o encadeamento da identidade do S.O. sincroniza a identidade da função do Java EE e o encadeamento do S.O. (SyncToOSThread). Isto significa que a identidade do encadeamento do S.O. está associada à identidade da função Java EE durante a chamada de método EJB (assemblers de aplicativos e implementadores associam a identidade RunAs ao encadeamento de sistemas operacionais configurando a identidade do encadeamento para a identidade RunAs para métodos do bean específicos). Essa associação significa que o responsável pela chamada ou a identidade da função de segurança (em vez da identidade da região do servidor) é utilizado para pedidos de serviço do sistema z/OS, como acesso a arquivos e sistemas de gerenciamento de banco de dados. O servidor WebSphere Application Server for z/OS Java EE pode ser configurado para ativar ou desativar esta associação (ou sincronização). A definição padrão desativa a capacidade de modificar a identidade no encadeamento do sistema operacional, independente da identidade do encadeamento do S.O. para a definição da identidade RunAs no descritor de implantação para o aplicativo instalado. Se o instalador do aplicativo não ativar a sincronização, qualquer método que defina a identidade RunAs para o encadeamento do sistema operacional falhará com um erro no_permission.
Conclua a especificação de opções para sincronizar uma identidade do encadeamento Java e uma identidade do encadeamento de sistema operacional usando o Resource Access Control Facility (RACF) para definir FACILITY e, opcionalmente, perfis de classe SURROGAT para Sincronização para Encadeamento de S.O. Permitida. Isso fornece ao administrador do RACF na configuração do WebSphere Application Server a capacidade de controlar as permissões que permitem a sincronização da identidade da função do Java EE e do encadeamento do S.O. (SyncToOSThread).
- Ativar o WebSphere Application Server e a sincronização da identidade do encadeamento do z/OS
- Especifica se SynchToOSThread do aplicativo é permitido. Quando esta opção de segurança é selecionada (significando que true foi especificado) o SyncToOSThread especificado pelo aplicativo é aceito e, então, transportado pelo EJB e pelos contêiners de web conforme indicado pelas especificações SyncToOSThread de EJB e aplicativo da web. O padrão é false ou desativado.
- Ativar a Identidade do Encadeamento RunAs do Gerenciador de Conexões
- Especifica se o gerenciador de conexões sincroniza o proprietário atual do Java EE ao encadeamento do S.O. quando uma conexão for obtida de uma referência de recursos que especifica res-auth=container. O padrão é false ou desativado.
- True, que especifica que o principal ou a identidade Java EE deve ser sincronizada com o encadeamento do S.O. para todas as solicitações que são chamadas no EJB ou aplicativo da web.
- False, especifica que o aplicativo ou a identidade do principal do Java EE não deve ser sincronizada com o encadeamento do S.O. para todas as solicitações que são chamadas no EJB ou aplicativo da web. Esse valor é o padrão.
- S.O. Local
- LDAP
- Customizado
- Valor inicial quando o primeiro método é definido
- Por padrão, as chamadas de métodos de serviço de servlet e de métodos de negócios EJB
são executadas implicitamente como o responsável pela chamada (RunAsCaller), a menos que o campo Executar como
de um atributo de política especifique o contrário. Os aplicativos clientes EJB
sempre são executados como servidor (RunAsServer). Nota: Para aplicativo da Web, se a restrição de segurança não estiver especificada, o aplicativo pode executar com um ID do usuário não autenticado.
- Alterações na delegação do método da identidade do Java EE (RunAs Especificado)
- O gerenciador de conexões sincroniza a identidade atual do Java EE ao encadeamento do S.O. ao obter aplicativos de referências de recursos que tenham autorização de recursos gerenciados por contêiner (res-auth=container). Os métodos EJB marcados com SynchToOSThread fazem com que a identidade de função do Java EE seja sincronizada com o encadeamento do S.O.
- WSSubject.doAs()
- Essa definição oferece flexibilidade ao associar o Subject a chamadas remotas em um encadeamento sem precisar executar um WSSubject.doAs() para associar o subject a uma ação remota.
- Compilação de JSP (JavaServer Pages)
- A compilação de JSP do contêiner da Web modifica a identidade do servidor se SyncToOSThread estiver ativado para o servidor (security_EnableSyncToOSThread=1).
- Acesso a Armazenamento Retrocesso com Informações de Estado
- A ativação da sessão com preservação de estado do contêiner EJB altera a identidade do servidor se SyncToOSThread estiver ativado. Sempre acesse o armazenamento auxiliar da sessão stateful do EJB usando a identidade do servidor.
- Recarregamento de Aplicativo da Web
- Quando o contêiner da Web recarrega o aplicativo da Web, ele muda a identidade do servidor se SyncToOSThread estiver ativado para aplicativos da Web.
- Pedidos do Connection Manager
- Quando a referência do recurso especifica res-auth=application, a identidade do encadeamento é temporariamente definida para a identidade do servidor.