이 페이지에서 SAF(System Authorization Facility) 및 SAF 권한 특성을 구성할 수 있습니다.
인증되지 않은 사용자, SAF 권한 및 SAF EJBROLE 메시지 제한의 공통 특성은 더 이상 사용자 정의 특성이 아닙니다.
이 옵션을 선택하는 경우, WebSphere Application Server는 z/OS 보안 제품에 저장된 권한 정책을 권한에 사용합니다.
SAF 권한이 지정되었거나 로컬 운영 체제 레지스트리가 구성된 경우, 비보호 서블릿 요청을 표시하는 데 사용되는 MVS™ 사용자 ID를 지정합니다. 이 사용자 ID의 길이는 최대 8자여야 합니다.
Java Platform, Enterprise Edition(Java EE) 역할 이름을 맵핑할 SAF EJBRole 프로파일의 이름을 지정합니다. 지정한 이름은 com.ibm.websphere.security.SAFRoleMapper 인터페이스를 구현합니다.
기본 SAF 역할 맵퍼 구현인 com.ibm.ws.security.zOS.authz.SAFRoleMapperImpl 구현은 초기에 구성됩니다. 이 초기 구성은 백분율(%), 앰퍼샌드(&), 별표(*), 공백 문자 및 파운드(#) 문자와 같은 SAF 역할 이름에서 허용되지 않는 모든 문자를 맵핑합니다.
자세한 정보는 사용자 정의 SAF EJB 역할 맵퍼 개발의 내용을 참조하십시오.
사용자가 RunAs 지정 역할을 선택하는 경우 활성 ID가 되는 MVS 사용자 ID가 SAF EJBROLE 정의에 지정되도록 지정합니다.
SAF 위임 사용 가능 옵션은 외부 권한 제공자로 SAF 권한 사용 가능 옵션을 선택하는 경우에만 선택하십시오.
APPL 프로파일을 사용하여 WebSphere Application Server에 대한 액세스를 제한하십시오.
SAF 프로파일 접두부를 정의한 경우, 사용된 APPL 프로파일은 프로파일 접두부입니다. 그렇지 않으면, APPL 프로파일 이름은 CBS390입니다. WebSphere 서비스를 사용하는 모든 z/OS ID는 APPL 프로파일에 대한 READ 권한이 있어야 합니다. 여기에는 모든 WebSphere Application Server ID, WebSphere Application Server 인증되지 않은 ID, WebSphere Application Server 관리 ID, 역할 대 사용자 맵핑을 기반으로 하는 사용자 ID 및 시스템 사용자의 모든 사용자 ID가 포함됩니다. APPL 클래스가 z/OS 시스템에서 활성화되지 않으면, 이 특성은 값과 관계 없이 영향을 미치지 않습니다.
정보 | 값 |
---|---|
기본값: | 사용 가능. |
ICH408I 메시지를 켤지 여부를 지정합니다. 이 설정의 기본값은 false(선택 취소됨)로, 메시지를 억제하지 않습니다.
SAF 권한에 대한 자세한 내용은 Information Center의 "로컬 OS 레지스트리 사용 시 콘솔 사용자로의 액세스 제어"를 참조하십시오. 관리 역할에 대한 자세한 내용은 Information Center의 "관리 역할"을 참조하십시오.
정보 | 값 |
---|---|
기본값: | 사용 불가능(메시지를 표시하지 않음) |
감사 레코드를 SMF(System Management Facility)에 기록할 시점을 판별합니다. 각각의 권한 호출에서 RACF® 또는 동등한 SAF 기반 제품은 감사 레코드를 권한 검사 결과와 함께 SMF에 기록할 수 있습니다.
z/OS용 WebSphere Application Server는 SAF RACROUTE AUTH 및 RACROUTE FASTAUTH 조작을 사용하며 보안 구성에 지정된 LOG 옵션을 전달합니다. 옵션은 DEFAULT, ASIS, NOFAIL 및 NONE입니다.
사용자가 일련의 역할 중 하나여야 하는 등의 복수의 역할 제한조건을 지정할 경우, 마지막 역할을 제외한 모든 역할을 NOFAIL 옵션으로 검사해야 합니다. 마지막 역할 이전 역할 중 하나에 권한을 부여하면, WebSphere Application Server가 권한 부여 성공 레코드를 작성합니다. 해당 역할에서 권한 부여가 성공하지 않을 경우, ASIS 로그 옵션으로 마지막 역할을 검사합니다. 사용자에게 마지막 역할에 권한이 부여된 경우, 성공 레코드를 작성할 수 있습니다. 사용자에게 권한이 부여되지 않은 경우, 실패 레코드를 작성할 수 있습니다.
여러 SAF 권한 부여 호출을 수행한 경우에도 실패한 Java EE 권한 검사에 대해 하나의 권한 부여 실패 레코드만 작성합니다. SAF RACROUTE 호출의 LOG 옵션에 대한 자세한 정보는 RACF 또는 동등한 SAF 기반 제품 문서를 참조하십시오. 또한 자원 권한 처리 중에 RACROUTE 매크로와 SAF API에 대한 WebSphere Application Server 호출의 SMF 감사가능성에 대한 추가 정보는 감사 지원 주제를 참조할 수 있습니다.
Java EE 역할에 사용되는 모든 SAF EJBROLE 프로파일 앞에 추가될 접두부를 지정합니다. 또한 이 접두부는 APPL 프로파일 이름으로 사용되며 CBIND 점검에 사용되는 프로파일 이름에 삽입됩니다. SAF 프로파일 접두부 필드에 대한 기본값이 없습니다. 접두부가 명시적으로으로 지정되지 않으면, 접두부는 SAF EJBROLE 프로파일에 추가되지 않고 CBS390의 기본값은 APPL 프로파일 이름으로 사용되며 CBIND 점검에 사용되는 프로파일 이름에 아무것도 삽입되지 않습니다.
APPL 프로파일을 사용하여 WebSphere Application Server에 대한 액세스를 제한할 수 있습니다.
SAF 프로파일 접두부를 정의한 경우, 사용된 APPL 프로파일은 프로파일 접두부입니다. 그렇지 않으면, APPL 프로파일 이름은 CBS390입니다. WebSphere 서비스를 사용하는 모든 z/OS ID는 APPL 프로파일에 대한 READ 권한이 있어야 합니다. 여기에는 모든 WebSphere Application Server ID, WebSphere Application Server 인증되지 않은 ID, WebSphere Application Server 관리 ID, 역할 대 사용자 맵핑을 기반으로 하는 사용자 ID 및 시스템 사용자의 모든 사용자 ID가 포함됩니다. APPL 클래스가 z/OS 시스템에서 활성화되지 않으면, 이 특성은 값과 관계 없이 영향을 미치지 않음에 유의하십시오.