WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

z/OS System Authorization Facility 許可

このページを使用して、System Authorization Facility (SAF) および SAF 許可プロパティーを構成します。

SAF 許可を使用可能にするには、以下のようにします。
  1. セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」> 「External authorization provider」をクリックします。
  2. System Authorization Facility (SAF)」ラジオ・ボタンをクリックします。
  3. SAF 許可オプションを構成するには、「SAF authorization options」をクリックします。SAF 許可の各オプションは、非認証ユーザーおよび SAF EJBROLE メッセージ抑止用です。

非認証ユーザー、SAF 許可、および SAF EJBROLE メッセージ抑止に共通のプロパティーは、 カスタム・プロパティーではなくなりました。

「構成」タブ

非認証ユーザー ID

SAF 許可の指定時またはローカル・オペレーティング・システム・レジストリーの構成時に、無保護サーブレット要求を表すために使用される MVS ユーザー ID を指定します。 このユーザー ID は、最大で 8 文字の長さである必要があります。

このプロパティー定義は、以下のインスタンスで使用されます。
  • 無保護サーブレットがエンティティー Bean を呼び出す場合の許可。
  • res-auth=container の場合に現在の ID を使用する z/OS コネクター (Customer Information Control System (CICS)、 Information Management System (IMS) など) を呼び出すための、無保護サーブレットの識別。
  • アプリケーション主導の Synch to OS Thread 機能が試行される場合。
詳しくは、インフォメーション・センターの以下の項目を参照してください。
  • 「application Synch to OS Thread Allowed」の理解
  • 「application Synch to OS Thread Allowed」を使用する時期
SAF プロファイル・マッパー

Java 2 Platform, Enterprise Edition (J2EE) 役割名のマップ先の SAF EJBRole プロファイルの名前を指定します。 指定した名前により、com.ibm.websphere.security.SAFRoleMapper インターフェースがインプリメントされます。

詳しくは、カスタム SAF EJB 役割マッパーの開発 を参照してください。

SAF 代行を使用可能にする

RunAs 指定の役割を選択した場合に、SAF EJBROLE 定義にアクティブ ID になる MVS ユーザー ID が割り当てられることを指定します。

SAF 代行を使用可能にする」オプションは、 ローカル・オペレーティング・システムをレジストリーとして使用している場合、 および外部許可プロバイダーとして「SAF 許可を使用可能にする」オプションを選択する場合にのみ選択してください。

RACF EJBRole 監査メッセージを抑制する (Suppress RACF EJBRole audit messages)

ICH408I メッセージをオンにするかオフにするかを指定します。

システム管理機能 (SMF) は、 この新規プロパティーにどの値が指定されても、アクセス違反を記録します。 このプロパティーは、ネーミングおよび管理サブシステムのアプリケーション定義役割およびアプリケーション・サーバーのランタイム定義役割の両方のアクセス違反のメッセージ生成に影響します。 EJBROLE プロファイル検査は、宣言およびプログラマチック検査の両方に行われます。
  • 宣言検査は Web アプリケーションでセキュリティー制約としてコード化され、 デプロイメント記述子は Enterprise JavaBeans (EJB) ファイルでセキュリティー制約としてコード化されます。このプロパティーは、この場合のメッセージを制御するために使用されません。 その代わり、許可される役割セットがあり、アクセス違反が発生すると、ICH408I アクセス違反メッセージが 役割の 1 つに障害が発生したことを示します。SMF はその後、その役割の単一のアクセス違反をログに記録します。
  • プログラム・ロジック検査またはアクセス検査は、エンタープライズ Bean の場合はプログラマチック isCallerinRole(x) メソッドを、Web アプリケーションの場合は isUserInRole(x) メソッドを使用して実行されます。 com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress プロパティーは、 この呼び出しによって生成されるメッセージを制御します。

SAF 権限について詳しくは、インフォメーション・センターの『ローカル OS レジストリー使用時のコンソール・ユーザーへのアクセス制御』を参照してください。管理の役割について詳しくは、インフォメーション・センターの『管理の役割』を参照してください。

注: Tivoli Access Manager や z/OS 用の SAF といったサード・パーティー許可を使用する場合、管理コンソール・パネルの情報が、プロバイダーのデータを示さない可能性があります。また、パネルへの変更が、自動的にプロバイダーに反映されない可能性もあります。 プロバイダーの指示に従って、プロバイダーへの変更を反映させてください。
デフォルト: 使用不可。メッセージを抑止しません。
SMF 監査レコード計画

どのような場合に System Management Facility (SMF) に監査レコードが書き込まれるのかを決定します。各許可呼び出しでは、 RACF または同等の SAF ベースの製品は、権限チェックの結果と一緒に監査レコードを SMF に書き込むことができます。

WebSphere Application Server for z/OS は、SAF RACROUTE AUTH および RACROUTE FASTAUTH オペレーションを使用し、セキュリティー構成で指定された LOG オプションを渡します。オプションは DEFAULT、ASIS、NOFAIL、および NONE です。

以下のオプションを使用できます。
DEFAULT

ユーザーが役割のセットの 1 つに該当する必要があるなど、複数の役割の制約が指定されている場合には、最後の役割を除くすべての役割は NOFAIL オプションによりチェックされます。 最後の役割の前の役割の 1 つで許可が与えられた場合、WebSphere Application Server は、許可成功レコードを書き込みます。 これらの役割で許可が成功しない場合、最後の役割が、ASIS ログ・オプションによりチェックされます。 ユーザーが最後の役割に対して許可された場合、 成功レコードが書き込まれることがあります。 ユーザーが許可されない場合、失敗レコードが書き込まれることがあります。

ASIS
リソースを保護するプロファイル内で指定された方法、 または SETROPTS オプションにより指定された方法で、監査イベントが記録されることを指定します。
NOFAIL
失敗を記録しないことを指定します。許可の失敗メッセージは発行されませんが、 成功した許可監査レコードは書き込まれることがあります。
NONE
失敗も成功も記録しないことを指定します。

複数の SAF 許可呼び出しが行われた場合であっても、 失敗した J2EE 許可チェックに対して 1 つの許可失敗レコードのみが書き込まれます。 SAF RACROUTE AUTH および RACROUTE FASTAUTH の LOG オプションについて詳しくは、RACF または同等の SAF ベースの製品の資料を参照してください。




関連概念
System Authorization Facility のユーザー・レジストリー
関連タスク
リソースへのアクセスの許可
カスタム SAF EJB 役割マッパーの開発
関連資料
監査サポート
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/usec_safpropszos.html