![[z/OS]](../images/ngzos.gif)
z/OS 系统授权工具授权
使用此页面来配置系统授权工具 (SAF) 和 SAF 授权属性。
- 单击 。
- 从“授权提供程序”下的下拉列表中选择系统授权工具 (SAF) 。
- 单击配置按钮。
- 如果认证机制是轻量级第三方认证 (LTPA),那么建议您更新下列所有的配置条目,以映射到有效的 z/OS 主体(例如 WEB_INBOUND、RMI_INBOUND 和 DEFAULT)。
- 如果认证机制是简单 WebSphere 认证机制 (SWAM),那么必须更新 SWAM 配置条目,以映射至有效的 z/OS 主体。
注: 建议不要使用 SWAM,并且在将来的发行版中将移除此认证机制。
未认证的用户、SAF 授权和 SAF EJBROLE 消息抑制功能的公共属性不再是定制属性。
选择此选项授权后,WebSphere Application Server 将使用 z/OS 安全性产品中存储的授权策略来进行授权。
未认证的用户标识
指定 MVS™ 用户标识,当指定了 SAF 授权或者配置了本地操作系统注册表时,此用户标识用来表示不受保护的 Servlet 请求。此用户标识限长 8 个字符。
- 当不受保护的 Servlet 调用实体 Bean 时,此属性定义用于进行授权
- 当 res-auth=container 时,对于使用不受保护的 Servlet 的标识来调用使用当前标识的 z/OS 连接器,例如客户信息控制系统 (CICS®) 或信息管理系统 (IMS™)
- 当尝试执行应用程序启动的“与操作系统线程同步”功能时
- 了解应用程序的“允许与操作系统线程同步”
- 何时使用应用程序的“允许与操作系统线程同步”
SAF 概要文件映射器
指定 Java™ Platform, Enterprise Edition (Java EE) 角色名所映射的 SAF EJBRole 概要文件的名称。指定的名称必须实现了 com.ibm.websphere.security.SAFRoleMapper 接口。
最初配置了 com.ibm.ws.security.zOS.authz.SAFRoleMapperImpl 实现类,该实现类是缺省 SAF 角色映射器实现。此初始配置将 SAF 角色名称中不允许使用的所有字符(例如,百分比 (%)、和号 (&)、星号 (*) 和空白字符)映射至井号 (#) 字符。
有关更多信息,请参阅开发定制 SAF EJB 角色映射器
启用 SAF 委派
指定当选择特定于 RunAs 的角色时,将 SAF EJBROLE 定义分配给成为活动标识的 MVS 用户标识。
仅当您选择启用 SAF 委派选项作为外部授权提供程序时,才应该选择启用 SAF 授权选项。
使用 APPL 概要文件来限制对应用程序服务器的访问
使用 APPL 概要文件来限制对 WebSphere Application Server 的访问
如果您定义了 SAF 概要文件前缀,那么使用的 APPL 概要文件是该概要文件前缀。否则,APPL 概要文件名称为 CBS390。使用 WebSphere 服务的所有 z/OS 标识都应该对 APPL 概要文件具有 READ 许可权。这包括所有 WebSphere Application Server 标识、WebSphere Application Server 未认证标识、WebSphere Application Server 管理标识、基于角色至用户映射的用户标识和系统用户的所有用户标识。如果 APPL 类在 z/OS 系统上未处于活动状态,那么无论此属性的值是什么,它都无效。
信息 | 值 |
---|---|
缺省值: | 已启用。 |
不显示来自 z/OS 安全性产品的授权失败消息。
指定是否打开了 ICH408I 消息。此设置的缺省值是 false(未选中),即不抑制消息。
- 声明性检查作为 Web 应用程序中的安全性约束编码,部署描述符作为 Enterprise JavaBeans (EJB) 文件中的安全性约束编码。
- 程序逻辑检查或访问检查使用程序性 isCallerinRole(x) 方法(对于企业 Bean)或 isUserInRole(x) 方法(对于 Web 应用程序)执行。

- 如果您不希望在 SMF 审计记录策略设置为 Default 时禁止管理角色消息,那么将 com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin 属性设置为 false。为此属性指定的值会覆盖控制管理角色消息禁止的任何其他设置。
- 当使用第三方授权产品(例如 Tivoli® Access Manager 或 SAF for z/OS)时,管理控制台面板中的信息可能未表示提供程序中的数据。并且,对此面板所作的更改可能不会自动在提供程序中有所反映。请按照提供程序的指示信息执行操作,以传播对提供程序所作的更改。
有关 SAF 授权的更多信息,请参阅信息中心中的“在使用本地操作系统注册表时控制对控制台用户的访问”。有关管理角色的更多信息,请参阅信息中心中的“管理角色”。
信息 | 值 |
---|---|
缺省值: | 已禁用,即不抑制消息。 |
SMF 审计记录策略
确定何时将审计记录写入系统管理设施(SMF)。在每次进行授权调用时,RACF 或基于 RACF® 的等同产品可以将审计记录与授权检查结果一起写入 SMF。
WebSphere Application Server for z/OS 使用 SAF RACROUTE AUTH 和 RACROUTE FASTAUTH 操作,并传递安全性配置中指定的 LOG 选项。这些选项是 DEFAULT、ASIS、NOFAIL 和 NONE。
- DEFAULT
如果指定了多个角色约束(例如,用户必须是一组角色中的某个角色),那么将使用 NOFAIL 选项来检查除最后一个角色以外的所有角色。如果在最后一个角色之前的任何一个角色中授予了权限,WebSphere Application Server 就会写入授权成功的记录。如果在这些角色中未成功地进行授权,那么将使用 ASIS LOG 选项来检查最后一个角色。如果该用户有权使用最后一个角色,那么将写入成功的记录。如果该用户无权使用最后一个角色,那么将写入失败的记录。
- ASIS
- 指定按照用于保护资源的概要文件中指定的方式来记录审计事件,或者按照 SETROPTS 选项指定的方式来记录审计事件。
- NOFAIL
- 指定不记录授权失败。这样,就不会发出授权失败消息,但仍然会写入授权成功的审计记录。
- NONE
- 指定既不记录授权成功也不记录授权失败。
对于失败的 Java EE 授权检查来说,即使进行了多次 SAF 授权调用,也将只写入一个授权失败的记录。有关 SAF RACROUTE 调用的 LOG 选项的更多信息,请参阅 RACF 或基于 SAF 的等同产品的文档。您还可以参阅“审计支持”主题,以了解有关在资源授权处理期间 WebSphere Application Server 对于 RACROUTE 宏和 SAF API 的调用的 SMF 可审计性的更多信息。
SAF 概要文件前缀
指定将添加至用于 Java EE 角色的所有 SAF EJBROLE 概要文件添加的前缀。此前缀也用作 APPL 概要文件名称,并且将它插入概要文件名称中用于进行 CBIND 检查。“SAF 概要文件前缀”字段没有缺省值。如果未显式指定前缀,那么不会将前缀添加至 SAF EJBROLE 概要文件,而是将缺省值 CBS390 用作 APPL 概要文件名称,并且不会将任何内容插入概要文件名称中以进行 CBIND 检查。
您可以使用 APPL 概要文件来限制对 WebSphere Application Server 的访问
如果您定义了 SAF 概要文件前缀,那么使用的 APPL 概要文件是该概要文件前缀。否则,APPL 概要文件名称为 CBS390。使用 WebSphere 服务的所有 z/OS 标识都应该对 APPL 概要文件具有 READ 许可权。这包括所有 WebSphere Application Server 标识、WebSphere Application Server 未认证标识、WebSphere Application Server 管理标识、基于角色至用户映射的用户标识和系统用户的所有用户标识。注意,如果 APPL 类在 z/OS 系统上未处于活动状态,那么无论此属性的值是什么,它都无效。