![[z/OS]](../images/ngzos.gif)
系统授权工具 (SAF) 委派
系统授权工具 (SAF) 委派使得将用户标识和密码存储在配置中的许多位置这种需求降到最低限度。
WebSphere® Application Server
支持委派功能。委派允许将用户标识来表示为 Java™ EE 角色。例如,可以建立应用程序以使用 RunAs 角色 RoleA 运行。然后,可以将 RoleA 映射为 UserA。WebSphere Application Server 接下来以
UserA 身份建立标识上下文,并且将在部署描述符中定义 RoleA。按照这种安排,SAF 委派使用指定的
Java EE 角色 RoleA
来确定线程标识,然后使用用户标识
UserA 来使处理过程同步。将在 RDEFINE RACF®
命令的 SAF EJBROLE 概要文件的 APPLDATA 值中指定 UserA。在此示例中,REDEFINE 命令如下所示:
RDEFINE EJBROLE rolea UACC(NONE) APPLDATA(usera)
SAF 委派要求启用“SAF 授权”。SAF 安全管理员将负责为用户指定角色。有关允许 SAF 委派的步骤,请参阅z/OS 系统授权工具授权。
注: 如果已启用 SAF
委派并且 Kerberos 是处于活动状态的认证机制,那么当应用程序请求
Run-As 角色时,在服务器中创建的 runAs 主体集不包含 Kerberos 凭证。因此,该请求将转至 LTPA。