Защита адаптера ресурсов IMS TM

Архитектура коннекторов J2EE (JCA) подразумевает, что сервер приложений и данные в EIS должны действовать совместно, для того чтобы доступ к EIS предоставлялся только идентифицированным пользователям.

Архитектура защиты JCA расширяет сквозную модель защиты для приложений Java™ EE, включая в нее интеграцию с системами EIS. IMS TM выполняет архитектуру защиты Архитектуры коннектора J2EE и работает с Администратором защиты Java 2 WebSphere Application Server.

вход в EIS

Архитектура защиты JCA поддерживает механизм идентификации по ИД пользователя и паролю EIS. ИД пользователя и пароль для входа в целевую систему EIS передаются либо компонентом приложения (вход в систему, управляемый компонентами), либо сервером приложений (вход в систему, управляемый контейнером).

Для адаптера ресурсов IMS TM целевой системой EIS является IMS. Идентификационные данные передаются адаптеру ресурсов IMS TM, который передает их в IMS TM. Затем IMS TM передает его в IMS Connect. IMS Connect использует эти данные для выполнения идентификации пользователя и передает эти данные в IMS OTMA. После этого IMS OTMA может использовать эти данные для проверки прав доступа к определенным ресурсам IMS.

Обычно адаптер ресурсов IMS TM передает полученные идентификационные данные (ИД, пароль и необязательное имя группы пользователей) в IMS Connect в виде сообщения IMS OTMA. В зависимости от конфигурации защиты, IMS Connect может вызвать функцию Security Authorization Facility (SAF) хоста.
  • Для WebSphere Application Server на распределенных платформах или в z/OS в случае применения TCP/IP и входа в систему, управляемого компонентами или контейнером:
    • Если в конфигурации IMS Connect указано RACF=Y, или если была выдана команда IMS Connect SETRACF ON, то IMS Connect вызывает функцию SAF для выполнения идентификации, используя ИД пользователя и пароль, переданный IMS TM в виде сообщения OTMA. Если идентификация проходит успешно, ИД пользователя, имя группы и идентификатор UTOKEN, возвращенный из вызоваIMS Connect в SAF, передаются IMS OTMA для проверки прав доступа к ресурсам IMS.
    • Если в конфигурации IMS Connect указано RACF=N или если была выдана команда IMS Connect SETRACF OFF, то IMS Connect не вызывает функцию SAF. Однако ИД пользователя и имя группы, если таковое указано, по-прежнему передаются IMS OTMA для получения прав доступа к ресурсам IMS.
  • Для WebSphere Application Server for z/OS, использующего протокол Local Option и вход в EIS, управляемый контейнером, идентификация пользователя выполняется только сервером приложений. Идентификация не выполняется в IMS Connect, независимо от параметра RACF в элементе конфигурации IMS Connect или установленного в результате выполнения команды SETRACF. WebSphere Application Server for z/OS вызывает функцию RACF, затем передает IMS TM идентификатор, представляющий пользователя. Затем IMS TM передает полученный идентификатор пользователя в IMS Connect. Получив идентификатор, IMS Connect не вызывает функцию SAF, поскольку идентификация уже выполнена в WebSphere Application Server for z/OS. IMS Connect передает идентификатор пользователя в IMS OTMA для проверки прав доступа к ресурсам IMS.
  • Идентификацию пользователя можно задать для сервера приложений двумя следующими способами:
    • ИД пользователя и пароль могут быть предоставлены в виде псевдонима службы идентификации Java (JAAS). Псевдоним JAAS связан либо с фабрикой соединений, используемой приложением, которое работает с IMS, либо, в зависимости от версии WebSphere Application Server, этот псевдоним может быть связан с используемой приложением ссылкой на ресурсы EJB. Сервер приложений создает идентификатор пользователя, представляющий идентифицированного пользователя в виде псевдонима, и передает этот идентификатор в IMS TM.
    • WebSphere Application Server for z/OS может быть настроен для идентификации пользователя по идентификационным данным, связанным с нитью выполнения. Сервер приложений создает идентификатор пользователя, представляющий идентифицированного пользователя и передает этот идентификатор в IMS TM.

Уровень проверки прав доступа к IMS задается командой IMS /SECURE OTMA.

Связи Secure Sockets Layer (SSL)

При условии правильной настройки, IMS TM и IMS Connect могут использовать протокол TCP/IP Secure Sockets Layer для защиты взаимосвязей.

Соединения SSL надежнее, чем соединения по TCP/IP без SSL. Они обеспечивают идентификацию для сервера IMS Connect и, по выбору, для клиента - IMS TM. Кроме того, сообщения, передаваемые по соединениям SSL, могут быть зашифрованы.

SSL с нулевым шифрованием (null encryption) обеспечивает промежуточный уровень защиты, в котором идентификация имеет место, но сообщения остаются незашифрованными. Нулевое шифрование SSL обеспечивает кодированную связь с более высокой степенью защиты, но со сниженной производительностью. Незашифрованная связь SSL обеспечивают повышенную производительность. Благодаря отказу от дополнительной необходимости шифровать все сообщения, которыми обмениваются IMS TM и IMS Connect.


Комментарии