z/OS における信頼されたアプリケーションとは、WebSphere Application Server の開始タスク制御プログラム (STC) が 「信頼されたアプリケーション」となって、 実行するスレッドの System Authorization Facility (SAF) の ID を 変更できるようになることを意味します。 z/OS アプリケーション (WebSphere Application Server など) が 信頼されると、MVS システムの整合性を保ったまま、 セキュリティー・インフラストラクチャーによって、 パスワード、パスチケット、証明書などを使用せずに、 MVS クレデンシャルをオーセンティケーターとして作成できるようになります。
SAF を ローカル・ オペレーティング・システムの ユーザー・レジストリーとして使用する場合、 または SAF 許可の使用を計画している場合に、 通常は信頼されたアプリケーションが必要となります (FACILITY クラスと BBO.TRUSTEDAPPS クラス・プロファイルを使用します)。 ローカル・オペレーティング・ システム・ユーザー・レジストリー向けの SAF セキュリティー、SAF 許可、 または Sync to Thread Allowed を使用するように、WebSphere Application Server が構成されている場合、 信頼されたアプリケーションを使用可能にして、MVS システム整合性が保たれるようにする必要があります。 信頼されたアプリケーションは、MVS 整合性ルールを満たしています。 したがって、未認証の呼び出し元が、WebSphere Application Server の機密コードを呼び出して、 権限が必要な機能を実行することはできません。 SAF を使用する場合は、Resource Access Control Facility (RACF) か、または同等な製品を使用して、 信頼されたアプリケーションを定義する必要があります。 WebSphere Application Server を、 実行するスレッドの ID を変更する権限を持つ、 信頼されたアプリケーションとして、SAF 許可 リソース・ルールで定義する必要があります。 このようにして、WebSphere Application Server および MVS を、互いの整合性を失うことなく連携させることができます。
信頼されたアプリケーションを 使用可能にするには、WebSphere Application Server が、FACILITY の RACF クラスに対する SAF の READ アクセス権と、BBO.TRUSTEDAPPS.<セルのショート・ネーム またはセキュリティー・ドメイン・プレフィックス>.<クラスターのショート・ネーム> のプロファイルとを持つようにします。
RDEF FACILITY BBO.TRUSTEDAPPS.**UACC(NONE) PERMIT BBO.TRUSTEDAPPS.** CLASS(FACILITY) ID(MYCBGROUP) ACC(READ) SETROPTS RACLIST(FACILITY) REFRESH
RDEF FACILITY BBO.TRUSTEDAPPS.SY1.BBOC0001 UACC NONE PERMIT BBO.TRUSTEDAPPS.SY1.BBOC0001 CLASS(FACILITY) ID(MYSTCCR) ACC(READ) SETROPTS RACLIST(FACILITY) REFRESH