[z/OS]

Identidade de Encadeamento Java e Identidade de Encadeamento do Sistema Operacional

É possível especificar opções para sincronizar uma identidade de encadeamento Java™ e uma identidade de encadeamento do sistema operacional.

O EJB (Enterprise JavaBeans) suporta uma especificação de função RunAs no nível do método que associa uma função do Java Platform, Enterprise Edition (Java EE) a uma chamada do método EJB. O método EJB é executado usando a autoridade que está associada à função de segurança designada. A autoridade é mapeada para a função designada usando uma identidade do usuário. Normalmente, esta identidade é reconhecida pelo tempo de execução baseado na web e Java EE e está associada ao encadeamento de despacho atual. Essa identidade controla o acesso a apenas aqueles recursos e facilidades sujeitos à segurança do Java EE. A identidade do encadeamento do S.O. real não é afetada pela seleção da função RunAs do EJB e geralmente é a identidade do servidor.

Configurar o encadeamento da identidade do S.O. sincroniza a identidade da função do Java EE e o encadeamento do S.O. (SyncToOSThread). Isto significa que a identidade do encadeamento do S.O. está associada à identidade da função Java EE durante a chamada de método EJB (assemblers de aplicativos e implementadores associam a identidade RunAs ao encadeamento de sistemas operacionais configurando a identidade do encadeamento para a identidade RunAs para métodos do bean específicos). Essa associação significa que o responsável pela chamada ou a identidade da função de segurança (em vez da identidade da região do servidor) é utilizado para pedidos de serviço do sistema z/OS, como acesso a arquivos e sistemas de gerenciamento de banco de dados. O servidor WebSphere Application Server for z/OS Java EE pode ser configurado para ativar ou desativar esta associação (ou sincronização). A definição padrão desativa a capacidade de modificar a identidade no encadeamento do sistema operacional, independente da identidade do encadeamento do S.O. para a definição da identidade RunAs no descritor de implantação para o aplicativo instalado. Se o instalador do aplicativo não ativar a sincronização, qualquer método que defina a identidade RunAs para o encadeamento do sistema operacional falhará com um erro no_permission.

Conclua a especificação de opções para sincronizar uma identidade do encadeamento Java e uma identidade do encadeamento de sistema operacional usando o Resource Access Control Facility (RACF) para definir FACILITY e, opcionalmente, perfis de classe SURROGAT para Sincronização para Encadeamento de S.O. Permitida. Isso fornece ao administrador do RACF na configuração do WebSphere Application Server a capacidade de controlar as permissões que permitem a sincronização da identidade da função do Java EE e do encadeamento do S.O. (SyncToOSThread).

Utilizando o console administrativo, é possível especificar as seguintes opções para a sincronização de identidade do encadeamento no painel de opções de segurança do z/OS:
Ativar o WebSphere Application Server e a sincronização da identidade do encadeamento do z/OS
Especifica se SynchToOSThread do aplicativo é permitido. Quando esta opção de segurança é selecionada (significando que true foi especificado) o SyncToOSThread especificado pelo aplicativo é aceito e, então, transportado pelo EJB e pelos contêiners de web conforme indicado pelas especificações SyncToOSThread de EJB e aplicativo da web. O padrão é false ou desativado.
Ativar a Identidade do Encadeamento RunAs do Gerenciador de Conexões
Especifica se o gerenciador de conexões sincroniza o proprietário atual do Java EE ao encadeamento do S.O. quando uma conexão for obtida de uma referência de recursos que especifica res-auth=container. O padrão é false ou desativado.
Também é possível selecionar o suporte de SyncToOSThread usando um descritor de implementação estendida (XDD) no nível do método para Enterprise JavaBeans (EJB). Ative este suporte usando uma entrada de ambiente distinta que é definida por meio do descritor de implementação padrão do EJB ou do aplicativo da web. Durante a montagem ou a implementação, ligue um valor a essa variável, especificando:
  • True, que especifica que o principal ou a identidade Java EE deve ser sincronizada com o encadeamento do S.O. para todas as solicitações que são chamadas no EJB ou aplicativo da web.
  • False, especifica que o aplicativo ou a identidade do principal do Java EE não deve ser sincronizada com o encadeamento do S.O. para todas as solicitações que são chamadas no EJB ou aplicativo da web. Esse valor é o padrão.
Ao processar uma solicitação, o contêiner da web entende quais funções, se houver, são necessárias para acessar o componente que é representado pela URL de entrada. O contêiner valida a autenticação do solicitante e se o usuário autenticado teve permissão concedida para as funções necessárias. O contêiner da Web faz uso do mesmo registro do usuário baseado em System Authorization Facility (SAF) e perfis de função EJB que o contêiner EJB para executar essa validação. Portanto, é possível usar o mesmo registro do usuário e perfis de função para administrar aplicativos da Web quando utilizar para Enterprise Beans e Java EE Services. Para definir a identidade do encadeamento, possíveis registros de usuários ativos incluem:
  • S.O. Local
  • LDAP
  • Customizado
Os eventos do aplicativo que modificam o valor da identidade do encadeamento incluem:
Valor inicial quando o primeiro método é definido
Por padrão, as chamadas de métodos de serviço de servlet e de métodos de negócios EJB são executadas implicitamente como o responsável pela chamada (RunAsCaller), a menos que o campo Executar como de um atributo de política especifique o contrário. Os aplicativos clientes EJB sempre são executados como servidor (RunAsServer).
Nota: Para aplicativo da Web, se a restrição de segurança não estiver especificada, o aplicativo pode executar com um ID do usuário não autenticado.
Alterações na delegação do método da identidade do Java EE (RunAs Especificado)
O gerenciador de conexões sincroniza a identidade atual do Java EE ao encadeamento do S.O. ao obter aplicativos de referências de recursos que tenham autorização de recursos gerenciados por contêiner (res-auth=container). Os métodos EJB marcados com SynchToOSThread fazem com que a identidade de função do Java EE seja sincronizada com o encadeamento do S.O.
WSSubject.doAs()
Essa definição oferece flexibilidade ao associar o Subject a chamadas remotas em um encadeamento sem precisar executar um WSSubject.doAs() para associar o subject a uma ação remota.
A identidade do encadeamento é reconfigurada temporariamente no servidor nas seguintes situações:
Compilação de JSP (JavaServer Pages)
A compilação de JSP do contêiner da Web modifica a identidade do servidor se SyncToOSThread estiver ativado para o servidor (security_EnableSyncToOSThread=1).
Acesso a Armazenamento Retrocesso com Informações de Estado
A ativação da sessão com preservação de estado do contêiner EJB altera a identidade do servidor se SyncToOSThread estiver ativado. Sempre acesse o armazenamento auxiliar da sessão stateful do EJB usando a identidade do servidor.
Recarregamento de Aplicativo da Web
Quando o contêiner da Web recarrega o aplicativo da Web, ele muda a identidade do servidor se SyncToOSThread estiver ativado para aplicativos da Web.
Pedidos do Connection Manager
Quando a referência do recurso especifica res-auth=application, a identidade do encadeamento é temporariamente definida para a identidade do servidor.
Nota: Ao executar com o segurança administrativa ativado, é recomendável que a segurança do Java 2 esteja ativada. Tenha cuidado ao ativar este suporte porque ele pode fazer com que recursos gerais do sistema z/OS (como arquivos e soquetes) fiquem fora do controle do tempo de execução do WebSphere Application Server e estes gerenciamentos de recursos do sistema fiquem acessíveis para identidades estabelecidas por meio de aplicativos Java EE.

Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_threadidentzos
Nome do arquivo: csec_threadidentzos.html