Архитектура
коннекторов J2EE (JCA) подразумевает, что сервер приложений и данные в EIS
должны действовать совместно, для того чтобы доступ к EIS
предоставлялся только идентифицированным пользователям.
Архитектура
защиты JCA расширяет сквозную модель защиты для приложений
Java™
EE, включая в нее интеграцию с системами EIS. IMS TM
выполняет архитектуру защиты Архитектуры коннектора J2EE и работает с Администратором защиты
Java
2 WebSphere Application
Server.
вход в EIS
Архитектура защиты JCA поддерживает механизм
идентификации по ИД пользователя и паролю EIS. ИД пользователя и
пароль для входа в целевую систему EIS передаются либо компонентом
приложения (вход в систему, управляемый
компонентами), либо сервером приложений
(вход в систему, управляемый
контейнером).
Для адаптера ресурсов IMS TM целевой системой EIS является
IMS. Идентификационные данные передаются адаптеру ресурсов IMS TM, который
передает их в IMS TM. Затем IMS TM передает его в IMS Connect. IMS Connect
использует эти данные для выполнения идентификации пользователя и передает эти данные в IMS OTMA. После этого IMS OTMA
может использовать эти данные для проверки прав доступа к определенным ресурсам IMS.
Обычно адаптер ресурсов IMS TM передает полученные
идентификационные данные (ИД, пароль и необязательное имя группы
пользователей) в
IMS
Connect в виде сообщения
IMS
OTMA. В зависимости от конфигурации защиты,
IMS
Connect может вызвать функцию Security Authorization Facility (SAF)
хоста.
- Для WebSphere Application
Server на распределенных платформах или в
z/OS
в случае применения TCP/IP и входа в систему, управляемого
компонентами или контейнером:
- Если в конфигурации
IMS
Connect указано RACF=Y, или если была выдана команда
IMS
Connect SETRACF ON, то
IMS
Connect вызывает функцию SAF для выполнения идентификации, используя
ИД пользователя и пароль, переданный IMS TM в виде
сообщения OTMA. Если идентификация проходит успешно, ИД пользователя,
имя группы и идентификатор UTOKEN, возвращенный из вызоваIMS Connect в SAF, передаются
IMS
OTMA для проверки прав доступа к ресурсам
IMS.
- Если в конфигурации
IMS
Connect указано RACF=N или если была выдана команда
IMS
Connect SETRACF OFF, то
IMS
Connect не вызывает функцию SAF. Однако ИД пользователя и имя группы, если таковое указано, по-прежнему передаются IMS OTMA
для получения прав доступа к ресурсам IMS.
- Для WebSphere Application
Server for z/OS,
использующего протокол Local Option и вход в EIS, управляемый
контейнером, идентификация пользователя выполняется только сервером
приложений. Идентификация не выполняется в
IMS
Connect, независимо от параметра
RACF
в элементе конфигурации
IMS
Connect или установленного в результате выполнения команды SETRACF.
WebSphere Application
Server for z/OS
вызывает функцию
RACF,
затем передает IMS TM идентификатор, представляющий
пользователя. Затем IMS TM передает полученный идентификатор пользователя в IMS Connect. Получив идентификатор,
IMS
Connect не вызывает функцию SAF, поскольку идентификация уже выполнена в WebSphere Application
Server for z/OS.
IMS
Connect передает идентификатор пользователя в
IMS
OTMA для проверки прав доступа к ресурсам
IMS.
- Идентификацию пользователя можно задать для сервера приложений двумя следующими способами:
- ИД пользователя и пароль могут быть предоставлены в виде псевдонима службы идентификации Java (JAAS). Псевдоним JAAS связан либо с фабрикой соединений,
используемой приложением, которое работает с
IMS,
либо, в зависимости от версии
WebSphere Application
Server,
этот псевдоним может быть связан с используемой приложением ссылкой
на ресурсы EJB. Сервер приложений создает идентификатор пользователя, представляющий
идентифицированного пользователя в виде псевдонима, и передает этот
идентификатор в IMS TM.
- WebSphere Application
Server for z/OS
может быть настроен для идентификации пользователя по
идентификационным данным, связанным с нитью выполнения. Сервер приложений создает идентификатор пользователя, представляющий
идентифицированного пользователя и передает этот
идентификатор в IMS TM.
Уровень проверки прав доступа к IMS задается командой
IMS
/SECURE OTMA.
Связи Secure Sockets Layer (SSL)
При условии правильной настройки,
IMS TM
и IMS
Connect могут использовать протокол TCP/IP Secure Sockets Layer для
защиты взаимосвязей.
Соединения SSL надежнее, чем соединения по
TCP/IP без SSL. Они обеспечивают идентификацию для сервера
IMS
Connect и, по выбору, для клиента - IMS TM.
Кроме того, сообщения, передаваемые по соединениям SSL, могут быть
зашифрованы.
SSL с нулевым шифрованием (null encryption) обеспечивает промежуточный уровень защиты, в котором идентификация имеет место, но сообщения остаются незашифрованными.
Нулевое шифрование SSL обеспечивает кодированную связь с более высокой степенью защиты, но со сниженной производительностью. Незашифрованная связь SSL обеспечивают повышенную производительность. Благодаря отказу от дополнительной
необходимости шифровать все сообщения, которыми обмениваются IMS TM и
IMS Connect.