Implicaciones de seguridad
El integrador de transacciones (TI) puede proporcionar credenciales de identificador de usuario y contraseña para la autenticación en el sistema central. Se proporcionan de conformidad con los estándares de IBM existentes y la autenticación del sistema central se completa mediante procedimientos estándar de IBM, como Resource Access Control Facility (RACF), Top Secret, etc. Toda la autenticación del sistema central se completa de forma transparente para el desarrollador.
Cuando se usa LU 6.2 para la conectividad, las credenciales se transmiten al sistema central en un mensaje ATTACH de SNA LU 6.2 Function Management Type 5 (FMH-5). Para obtener más información, consulte el manual de IBM, SystemsNetworkArchitectureFormats,DocumentNumberGA27-3136-16,Section11.1.5FMHeader5:Attach(LU6.2).
Cuando se usa TCP/IP para la conectividad, las credenciales se transmiten en el mensaje de solicitud de transacción (TRM) enviado desde TI al agente de escucha. Hay algunos requisitos de codificación adicionales en el sistema central para TCP/IP para proporcionar salidas de usuario para la autenticación. Para obtener información sobre CICS, consulte IBMTCP/IPforz/OS CICSTCP/IPSocketInterfaceGuideandReference,DocumentNumberSC31-7131-03,Section6.6.3WritingYourownSecurityLinkModulefortheListener. Para obtener información sobre IMS, consulte IBMTCP/IPforz/OS IMSTCP/IPApplicationDevelopmentGuideandReference,DocumentNumberSC31-7186-03,Section3.4.4TheIMSListenerSecurityExit. Antes de TCP/IP versión 3R2, el módulo de salida de CICS requería el nombre EZACICSE. Sin embargo, puede elegir cualquier nombre cuando use TCP/IP versión 3R2. Para IMS, el módulo de salida debe denominarse IMSLSECX.
Hay tres orígenes alternativos de credenciales del sistema central.
Identidad de la aplicación COM+ que contiene el componente de TI.
La identidad del usuario de Windows de la aplicación de TI.
Característica opcional de invalidación de seguridad explícita de TI.
El uso de la característica de invalidación explícita desasocia la seguridad del sistema central de la seguridad de Windows; por lo tanto, su uso no se recomienda en las dos primeras alternativas. El uso de cualquiera de las dos primeras alternativas integra la seguridad del sistema central con la seguridad de Windows mediante la funcionalidad host Integration Server Enterprise Single Sign-On (ESSO).
De forma predeterminada, no se habilita el paso de credenciales al sistema central para la autenticación. Para activar las propiedades de seguridad del entorno remoto (RE) de TI, active la casilla Establecer seguridad en . Debe hacer clic en Autenticar con credenciales de paquete o Autenticar con credenciales de usuario , incluso si tiene previsto usar la característica de invalidación de seguridad explícita.
Para seleccionar la invalidación de seguridad explícita, active la casilla Permitir invalidación de aplicación . Esta opción es la menos recomendada de las tres. Si la aplicación selecciona la opción Permitir invalidación de aplicación , pero no la implementa, el mecanismo de seguridad se revierte a cualquiera de las otras dos opciones de seguridad que haya seleccionado.
Nota
La invalidación de seguridad explícita no es el método preferido para especificar credenciales para un cliente. Si es posible, debe usar las palabras clave USERID y PASSWORD del contexto de cliente. Para obtener más información, consulte las palabras clave COMTIContext.
En esta sección
Cómo usar la autenticación de invalidación de Explicit-Level opcional