L'architecture JCA spécifie que le serveur d'application et les informations de l'EIS doivent collaborer afin de garantir que seuls les utilisateurs authentifiés peuvent accéder à un EIS.
L'architecture JCA étend le modèle de sécurité complet pour les
applications basées sur Java™
EE afin d'inclure l'intégration avec les systèmes EIS. IMS TM Resource Adapter suit l'architecture de sécurité JCA (J2EE Connector Architecture) et fonctionne avec le Gestionnaire de sécurité Java 2 de WebSphere Application Server.
connexion au système EIS
L'architecture JCA prend en charge un mécanisme d'authentification de l'ID utilisateur et du mot de passe propre à un EIS. L'ID utilisateur et le mot de passe utilisés pour se connecter au système EIS cible sont fournis par le composant de l'application (connexion gérée par composant) ou par le serveur d'applications (connexion gérée par conteneur).
Pour IMS TM Resource Adapter,
IMS
est le système EIS cible. Les informations de sécurité fournies par le
composant d'application ou le serveur d'applications sont transmises à IMS TM Resource Adapter. IMS TM Resource Adapter les passe alors à IMS Connect. IMS Connect utilise ces informations pour authentifier l'utilisateur puis les transmet à IMS OTMA. IMS OTMA peut à son tour utiliser ces informations pour vérifier l'autorisation d'accès à certaines ressources IMS.
Dans un environnement classique,
IMS TM Resource Adapter
transmet les informations de sécurité (l'ID utilisateur, le mot de passe et, en
option, le nom du groupe) qu'il reçoit à
IMS
Connect dans un message IMS
OTMA. Selon le type de configuration de sécurité, IMS
Connect peut ensuite appeler la fonction SAF sur l'hôte.
- Pour WebSphere Application Server sur des plateformes distribuées ou z/OS avec TCP/IP, utilisant une connexion gérée par composant ou par conteneur :
- Si RACF=Y est défini dans le membre de configuration IMS
Connect ou si la commande IMS
Connect SETRACF ON a été émise, IMS
Connect appelle la fonction SAF pour effectuer l'authentification avec l'ID utilisateur et le mot de passe transmis par
IMS TM Resource Adapter dans le message OTMA. Si l'authentification
réussit, l'ID utilisateur, le nom de groupe facultatif et l'UTOKEN renvoyés par l'appel IMS Connect à la fonction SAF sont transmis à IMS OTMA et vont servir à vérifier l'autorisation
d'accès aux ressources IMS.
- Si RACF=N est défini dans le membre de configuration d'IMS Connect ou si la commande IMS Connect SETRACF OFF a été émise, IMS Connect n'appelle pas la fonction SAF. Cependant, la transmission de l'ID utilisateur et du nom de groupe (s'ils sont spécifiés) à IMS OTMA s'effectue pour vérifier l'autorisation d'accès aux ressources IMS.
- Pour WebSphere Application
Server for z/OS
avec Local Option et une connexion à EIS gérée par conteneur,
l'authentification utilisateur est effectuée seulement par le serveur d'applications. L'authentification utilisateur n'est pas effectuée dans IMS Connect,
quel que soit le paramétrage de RACF dans le membre de configuration d'IMS Connect ou le résultat d'une commande SETRACF. WebSphere Application
Server for z/OS appelle RACF, puis passe le jeton utilisateur qui représente l'identité de l'utilisateur à IMS TM Resource Adapter. IMS TM Resource Adapter passe ensuite le jeton utilisateur à IMS Connect. Quand IMS Connect voit le jeton utilisateur, il n'appelle pas la fonction SAF car l'authentification a déjà été effectuée par WebSphere Application
Server for z/OS. IMS Connect passe le jeton utilisateur à IMS OTMA pour vérifier l'autorisation d'accès aux ressources IMS.
- Vous pouvez fournir l'identité de l'utilisateur au serveur d'applications de deux façons :
- Il est possible de fournir l'ID utilisateur et le mot de passe dans un alias JAAS (Java Authentication and Authorization Service). L'alias JAAS est associé à la fabrique de connexions utilisée par l'application ayant accès à
IMS ou, en fonction de la version de
WebSphere Application Server, à la référence de ressource du composant EJB utilisée par l'application. Le serveur d'applications crée et transmet le jeton utilisateur représentant l'identité de
l'utilisateur dans l'alias à IMS TM Resource Adapter.
- Il est possible de configurer WebSphere Application
Server for z/OS pour obtenir
l'identité de l'utilisateur associée à l'unité d'exécution de l'application. Le serveur d'applications crée et transmet le jeton utilisateur représentant l'identité de cet utilisateur à IMS TM Resource Adapter.
Le niveau du contrôle des autorisations effectué par IMS est contrôlé par la commande IMS /SECURE OTMA.
communications SSL (Secure Sockets Layer)
S'ils sont correctement configurés, IMS TM Resource Adapter et IMS Connect peuvent utiliser le protocole TCP/IP SSL pour sécuriser leurs communications.
Les connexions SSL
sont plus sûres que les connexions TCP/IP non-SSL et elles offrent l'authentification du serveur IMS Connect et, de façon facultative, du client IMS TM Resource Adapter.
Les messages circulant sur les connexions SSL peuvent aussi être chiffrés.
Le protocole SSL avec chiffrement null offre un niveau intermédiaire de sécurité en assurant l'authentification sans chiffrement des messages.
Le protocole SSL avec chiffrement null permet des communications chiffrées avec une meilleure sécurité mais avec un débit inférieur. Les communications SSL non chiffrées offrent un meilleur débit en raison de l'élimination du surcroît de traitement nécessaire au chiffrement de chaque message circulant entre IMS TM Resource Adapter et IMS Connect.