O J2EE Connector Architecture (JCA) especifica se o
servidor de aplicativos e as informações em um
Enterprise Information System (EIS) devem colaborar para assegurar que somente usuários autenticados
possam acessar um EIS.
A arquitetura de segurança do JCA amplia o modelo de segurança de ponta a ponta
para aplicativos baseados no Java™ EE para incluir a
integração com o EISs. O IMS TM
Resource Adapter acompanha
a arquitetura de segurança do J2EE Connector Architecture e trabalha com o
WebSphere Application Server Java 2 Security Manager.
Conexão EIS
A arquitetura de segurança do JCA
suporta o mecanismo de ID de usuário e autenticação de senha específico
para um EIS. O ID do usuário e senha usados para se conectar
ao EIS de destino são fornecidos pelo componente de aplicativo
(conexão gerenciada pelo componente) ou pelo servidor de aplicativos
(conexão gerenciada pelo contêiner).
Para o IMS TM
Resource Adapter, o IMS é o EIS de destino. As informações de segurança fornecidas pelo
componente de aplicativo ou pelo servidor de aplicativos são passadas ao IMS TM
Resource Adapter. O IMS TM
Resource Adapter então as passa
para o IMS Connect. O IMS Connect
usa essas informações para executar a autenticação do usuário e passa essas informações para
o IMS OTMA. O IMS OTMA
pode então usar essas informações para verificar a autorização para acessar determinados recursos do IMS.
Em um ambiente típico, o
IMS TM
Resource Adapter transmite as informações de segurança (ID de usuário, senha e nome de grupo opcional) que ele recebe para o IMS Connect em uma mensagem do IMS OTMA. Dependendo de sua configuração de segurança, o IMS Connect
poderá, então, chamar o Security Authorization Facility (SAF) no host.
- Para o WebSphere Application Server em
plataformas distribuídas ou para o z/OS com TCP/IP, usando
a conexão gerenciada por componente ou a conexão gerenciada pelo contêiner:
- Se RACF=Y for configurado no membro de configuração do IMS Connect
ou se o comando SETRACF ON do IMS Connect
tiver sido emitido, o IMS Connect chama o SAF para executar a
autenticação usando o ID do usuário e a senha são passados pelo IMS TM
Resource Adapter na mensagem
do OTMA. Se a autenticação for bem-sucedida, o ID do usuário, o nome do grupo opcional e o
UTOKEN retornados da chamada do IMS Connect
para o SAF serão passados para o IMS OTMA para verificar a
autorização para acessar recursos do IMS.
- Se o RACF=N for configurado no membro de configuração do IMS Connect
ou se o comando SETRACF OFF do IMS Connect tiver
sido emitido, o IMS Connect não chamará o SAF. Entretanto, o
ID de usuário e o nome do grupo, se especificado, são passados para o IMS OTMA
para obter autorização para acessar os recursos do IMS.
- Para o WebSphere Application
Server para z/OS que usa a
conexão de Opção Local e aquela gerenciada pelo contêiner, a autenticação do usuário será executada
somente pelo servidor de aplicativos. A autenticação do usuário não é executada
no IMS Connect, independentemente da configuração do RACF no membro de
configuração do IMS Connect ou do resultado de um
comando SETRACF. O WebSphere Application
Server para z/OS chama o RACF e, então, passa o token do usuário que representa a identidade do usuário para o IMS TM
Resource Adapter. O IMS TM
Resource Adapter passa, então, o
token do usuário para o IMS Connect. Quando o IMS Connect visualiza o token do usuário, ele não chama o SAF, pois a autenticação já foi
executada pelo WebSphere Application
Server para z/OS. O IMS Connect passa
o token do usuário para o IMS OTMA para verificar a autorização para
acessar os recursos do IMS.
- É possível fornecer a identidade do usuário ao servidor de aplicativos de duas
formas:
- O ID de usuário e a senha podem ser fornecidos em um alias do Java Authentication and Authorization Service (JAAS). O alias do JAAS está associado ao
connection factory usado pelo aplicativo que acessa
o IMS ou, dependendo da versão do WebSphere Application Server, com a
referência de recurso do EJB usada pelo aplicativo. O servidor de aplicativos
cria e passa o token do usuário que representa a identidade do usuário no
alias para o IMS TM
Resource Adapter.
- O WebSphere Application
Server para z/OS pode ser
configurado para obter a identidade do usuário associada ao encadeamento
da execução do aplicativo. O servidor de aplicativos cria e passa o
token do usuário que representa essa identidade do usuário para
o IMS TM
Resource Adapter.
O nível de verificação de autorização que o IMS conclui é controlado
pelo comando /SECURE OTMA do IMS.
Comunicações Secure Sockets Layer (SSL)
É possível configurar
o IMS TM
Resource Adapter e o IMS Connect;
se adequadamente configurados, é possível usar o protocolo SSL do TCP/IP para assegurar as
comunicações entre eles.
As conexões SSL são mais seguras
do que as conexões TCP/IP não SSL e fornecem a autenticação para o
servidor do IMS Connect e, opcionalmente, para o cliente do IMS TM
Resource Adapter.
As mensagens que fluem em conexões SSL também podem ser criptografadas.
O SSL
com criptografia nula fornece um nível intermediário de segurança no
qual a autenticação ocorre, mas as mensagens não são criptografadas.
A criptografia nula de SSL oferece comunicações criptografadas com maior segurança,
mas com menor rendimento. As comunicações de SSL não criptografado oferecem maior
rendimento, devido à eliminação da sobrecarga necessária para criptografar
cada mensagem que flui entre o IMS TM
Resource Adapter e o IMS Connect.