Segurança do IMS TM Resource Adapter

O J2EE Connector Architecture (JCA) especifica se o servidor de aplicativos e as informações em um Enterprise Information System (EIS) devem colaborar para assegurar que somente usuários autenticados possam acessar um EIS.

A arquitetura de segurança do JCA amplia o modelo de segurança de ponta a ponta para aplicativos baseados no Java™ EE para incluir a integração com o EISs. O IMS TM Resource Adapter acompanha a arquitetura de segurança do J2EE Connector Architecture e trabalha com o WebSphere Application Server Java 2 Security Manager.

Conexão EIS

A arquitetura de segurança do JCA suporta o mecanismo de ID de usuário e autenticação de senha específico para um EIS. O ID do usuário e senha usados para se conectar ao EIS de destino são fornecidos pelo componente de aplicativo (conexão gerenciada pelo componente) ou pelo servidor de aplicativos (conexão gerenciada pelo contêiner).

Para o IMS TM Resource Adapter, o IMS é o EIS de destino. As informações de segurança fornecidas pelo componente de aplicativo ou pelo servidor de aplicativos são passadas ao IMS TM Resource Adapter. O IMS TM Resource Adapter então as passa para o IMS Connect. O IMS Connect usa essas informações para executar a autenticação do usuário e passa essas informações para o IMS OTMA. O IMS OTMA pode então usar essas informações para verificar a autorização para acessar determinados recursos do IMS.

Em um ambiente típico, o IMS TM Resource Adapter transmite as informações de segurança (ID de usuário, senha e nome de grupo opcional) que ele recebe para o IMS Connect em uma mensagem do IMS OTMA. Dependendo de sua configuração de segurança, o IMS Connect poderá, então, chamar o Security Authorization Facility (SAF) no host.
  • Para o WebSphere Application Server em plataformas distribuídas ou para o z/OS com TCP/IP, usando a conexão gerenciada por componente ou a conexão gerenciada pelo contêiner:
    • Se RACF=Y for configurado no membro de configuração do IMS Connect ou se o comando SETRACF ON do IMS Connect tiver sido emitido, o IMS Connect chama o SAF para executar a autenticação usando o ID do usuário e a senha são passados pelo IMS TM Resource Adapter na mensagem do OTMA. Se a autenticação for bem-sucedida, o ID do usuário, o nome do grupo opcional e o UTOKEN retornados da chamada do IMS Connect para o SAF serão passados para o IMS OTMA para verificar a autorização para acessar recursos do IMS.
    • Se o RACF=N for configurado no membro de configuração do IMS Connect ou se o comando SETRACF OFF do IMS Connect tiver sido emitido, o IMS Connect não chamará o SAF. Entretanto, o ID de usuário e o nome do grupo, se especificado, são passados para o IMS OTMA para obter autorização para acessar os recursos do IMS.
  • Para o WebSphere Application Server para z/OS que usa a conexão de Opção Local e aquela gerenciada pelo contêiner, a autenticação do usuário será executada somente pelo servidor de aplicativos. A autenticação do usuário não é executada no IMS Connect, independentemente da configuração do RACF no membro de configuração do IMS Connect ou do resultado de um comando SETRACF. O WebSphere Application Server para z/OS chama o RACF e, então, passa o token do usuário que representa a identidade do usuário para o IMS TM Resource Adapter. O IMS TM Resource Adapter passa, então, o token do usuário para o IMS Connect. Quando o IMS Connect visualiza o token do usuário, ele não chama o SAF, pois a autenticação já foi executada pelo WebSphere Application Server para z/OS. O IMS Connect passa o token do usuário para o IMS OTMA para verificar a autorização para acessar os recursos do IMS.
  • É possível fornecer a identidade do usuário ao servidor de aplicativos de duas formas:
    • O ID de usuário e a senha podem ser fornecidos em um alias do Java Authentication and Authorization Service (JAAS). O alias do JAAS está associado ao connection factory usado pelo aplicativo que acessa o IMS ou, dependendo da versão do WebSphere Application Server, com a referência de recurso do EJB usada pelo aplicativo. O servidor de aplicativos cria e passa o token do usuário que representa a identidade do usuário no alias para o IMS TM Resource Adapter.
    • O WebSphere Application Server para z/OS pode ser configurado para obter a identidade do usuário associada ao encadeamento da execução do aplicativo. O servidor de aplicativos cria e passa o token do usuário que representa essa identidade do usuário para o IMS TM Resource Adapter.

O nível de verificação de autorização que o IMS conclui é controlado pelo comando /SECURE OTMA do IMS.

Comunicações Secure Sockets Layer (SSL)

É possível configurar o IMS TM Resource Adapter e o IMS Connect; se adequadamente configurados, é possível usar o protocolo SSL do TCP/IP para assegurar as comunicações entre eles.

As conexões SSL são mais seguras do que as conexões TCP/IP não SSL e fornecem a autenticação para o servidor do IMS Connect e, opcionalmente, para o cliente do IMS TM Resource Adapter. As mensagens que fluem em conexões SSL também podem ser criptografadas.

O SSL com criptografia nula fornece um nível intermediário de segurança no qual a autenticação ocorre, mas as mensagens não são criptografadas. A criptografia nula de SSL oferece comunicações criptografadas com maior segurança, mas com menor rendimento. As comunicações de SSL não criptografado oferecem maior rendimento, devido à eliminação da sobrecarga necessária para criptografar cada mensagem que flui entre o IMS TM Resource Adapter e o IMS Connect.


Feedback