Incidence sur la sécurité
L’intégrateur de transactions (TI) peut fournir des informations d’identification d’id utilisateur et de mot de passe pour l’authentification sur le mainframe. Ils sont fournis conformément aux normes IBM existantes, et l’authentification mainframe est effectuée par des procédures IBM standard telles que Resource Access Control Facility (RACF), Top Secret, etc. Toute l’authentification mainframe est effectuée de manière transparente pour le développeur.
Lorsque LU 6.2 est utilisé pour la connectivité, les informations d’identification sont transmises au mainframe dans un message ATTACH de type d’en-tête de gestion des fonctions SNA LU 6.2 (FMH-5). Pour plus d’informations, consultez le manuel IBM, SystemsNetworkArchitectureFormats,DocumentNumberGA27-3136-16,Section11.1.5FMHeader5 :Attach(LU6.2).
Lorsque TCP/IP est utilisé pour la connectivité, les informations d’identification sont transmises dans le message de demande de transaction (TRM) envoyé de TI à l’écouteur. Il existe des exigences de codage supplémentaires sur le mainframe pour TCP/IP afin de fournir des sorties utilisateur pour l’authentification. Pour plus d’informations sur CICS, reportez-vous à IBMTCP/IPpourz/OSCICSTCP/IPSocketInterfaceGuideandReference,DocumentNumberSC31-7131-03,Section6.6.3WritingYourOwnSecurityLinkModulefortheListener. Pour plus d’informations sur IMS, reportez-vous à IBMTCP/IPforz/OSIMSTCP/IPApplicationDevelopmentGuideandReference,DocumentNumberSC31-7186-03,Section3.4.4 Sortie de sécuritéde l’écouteur IMS. Avant TCP/IP version 3R2, le module de sortie CICS nécessitait le nom EZACICSE. Toutefois, vous pouvez choisir n’importe quel nom lorsque vous utilisez TCP/IP version 3R2. Pour IMS, le module de sortie doit être nommé IMSLSECX.
Il existe trois autres sources d’informations d’identification de mainframe.
Identité de l’application COM+ qui contient le composant TI.
Identité de l’utilisateur Windows de l’application TI.
Fonctionnalité facultative de remplacement de sécurité explicite de TI.
L’utilisation de la fonctionnalité de remplacement explicite dissocie la sécurité du mainframe et la sécurité Windows ; par conséquent, son utilisation n’est pas recommandée par rapport aux deux premières alternatives. L’utilisation de l’une des deux premières alternatives intègre la sécurité mainframe à la sécurité Windows à l’aide de la fonctionnalité ESSO (Host Integration Server Enterprise Single Sign-On).
Par défaut, la transmission d’informations d’identification au mainframe pour l’authentification n’est pas activée. Vous devez activer les propriétés de sécurité de l’environnement distant TI (RE) en sélectionnant la zone Définir la sécurité sur case activée. Vous devez cliquer sur Authentifier avec les informations d’identification de package ou Authentifier avec les informations d’identification utilisateur même si vous envisagez d’utiliser la fonctionnalité de remplacement de sécurité explicite.
Pour sélectionner le remplacement de sécurité explicite, sélectionnez la zone Autoriser le remplacement d’application case activée. Cette option est la moins recommandée des trois. Si Autoriser la substitution d’application est sélectionné, mais pas implémenté par l’application, le mécanisme de sécurité revient à l’une des deux autres options de sécurité que vous avez sélectionnées.
Notes
La substitution de sécurité explicite n’est pas la méthode préférée pour spécifier les informations d’identification d’un client. Si possible, vous devez utiliser les mots clés userID du contexte client et mot de passe de remplacement. Pour plus d’informations, consultez les mots clés COMTIContext.
Dans cette section
Comment utiliser l’authentification facultative Explicit-Level remplacer