必须保护“企业信息系统”(EIS)(例如,IMS™)中的信息免遭未经授权的访问。J2EE 连接器体系结构(J2C)指定,应用程序服务器和 EIS 必须互相协作,以确保只有经过授权的用户才能访问 EIS。J2C 安全性体系结构将基于 J2EE 的应用程序的端到端安全性模型扩展为包含与 EIS 的集成。
EIS 登录
J2C 安全性体系结构支持特定于 EIS 的用户标识和密码认证机制。有关更多信息,请参阅 WebSphere® Application Server 文档中的 Java™ 2 连接器安全性。
目标 EIS 的用户标识和密码是由应用程序组件(组件管理的登录)或应用程序服务器(容器管理的登录)提供的。
对于 IMS 资源适配器,IMS 是目标 EIS。安全性信息将被传递至 IMS 资源适配器,IMS 资源适配器又将这些信息传递至 IMS Connect。IMS Connect 使用该信息来执行用户认证,并将该信息传递至 IMS OTMA,IMS OTMA 又使用该信息来验证对于访问 IMS 的授权。
在典型环境中,IMS 资源适配器将它接收到的安全性信息(用户标识、密码和可选的组名)通过一条 IMS OTMA 消息传递至 IMS Connect。然后,IMS Connect 将根据它的安全性配置来调用主机的“安全授权工具”(SAF)。
- 使用 TCP/IP 协议的安装在分布式平台或 z/OS® 上的 WebSphere Application Server 要使用组件管理的登录或容器管理的登录,或者,使用“本地选项”协议的安装在分布式平台或 z/OS 上的 WebSphere Application Server 要使用组件管理的登录:
- 如果在 IMS Connect 配置成员中设置了 RACF=Y,或者已经发出了
IMS Connect 命令 SETRACF ON,则
IMS Connect 将调用 SAF 并使用 IMS Connector for Java 在 OTMA 消息中传递的用户标识和密码来执行认证。如果认证成功,就会把用户标识、可选的组名以及 IMS Connect 调用 SAF 之后所返回的 UTOKEN 一起传递给 IMS OTMA,用来验证对于访问 IMS 的授权。
- 如果在 IMS Connect 配置成员中设置了 RACF=N,或者已经发出了
IMS Connect 命令 SETRACF OFF,IMS Connect 就不会调用 SAF。但是,仍然会把用户标识和可选的组名传递给 IMS OTMA,用来验证对于访问 IMS 的授权。
- 使用“本地选项”协议的安装在 z/OS 上的 WebSphere Application Server,要使用容器管理的登录:
- 无论 IMS Connect 中 RACF 参数的值是什么(不管是在 IMS Connect 配置成员中设置的值,还是通过 SETRACF 命令设置的值),IMS Connect 都不会调用 SAF,这是因为 WebSphere Application Server for z/OS 已经执行了认证。WebSphere Application Server for z/OS 调用 SAF 时所生成的 UTOKEN 会被传递至 IMS,用来验证对于访问 IMS 的授权。
- 可以将 WebSphere Application Server for z/OS 配置为使用与执行的线程相关联的“运行方式”标识来认证用户。此标识通称为“线程标识”。应用程序服务器将创建一个用来表示用户标识的 UTOKEN 并将它传递给 IMS 资源适配器。然后,IMS 资源适配器将该令牌传递给 IMS Connect,用于登录至 IMS。有关 WAS 中的“运行方式标识”支持的信息,请参阅 WebSphere Application Server for z/OS 的安全性文档。
IMS 执行的授权检查级别由 IMS 命令 /SECURE OTMA 控制。有关此命令的更多信息,请参阅 IMS OTMA Guide and Reference。
Java2 安全性管理器
IMS 资源适配器与 WebSphere Application Server Java2 安全性管理器协同工作。必须对诸如资源适配器的组件授权以执行受保护的任务,例如,执行套接字调用。已授权了 IMS 资源适配器来执行这些任务。应用程序组件不需要执行任何操作。
有关“Java2 安全性管理器”的更多信息,请参阅 WebSphere Application Server 文档中的管理受保护应用程序。