Implicazioni della sicurezza
L'integratore delle transazioni (TI) può fornire l'ID utente e le credenziali della password per l'autenticazione nel mainframe. Vengono forniti in conformità agli standard IBM esistenti e l'autenticazione mainframe viene completata da procedure IBM standard, ad esempio Resource Controllo di accesso Facility (RACF), Top Secret e così via. Tutte le autenticazioni mainframe vengono completate in modo trasparente per lo sviluppatore.
Quando lu 6.2 viene usato per la connettività, le credenziali vengono trasmesse al mainframe in un messaggio di intestazione di gestione delle funzioni SNA LU 6.2 (FMH-5). Per altre informazioni, vedere il manuale IBM, i formatidell'architettura di retesistemi, il numero di documentoGA27-3136-16,sezione 11.1.5intestazione FM 5:Attach(LU6.2).
Quando viene usato TCP/IP per la connettività, le credenziali vengono trasmesse nel messaggio di richiesta di transazione (TRM) inviato da TI al listener. Esistono alcuni requisiti di codifica aggiuntivi nel mainframe per TCP/IP per fornire agli utenti l'uscita per l'autenticazione. Per informazioni su CICS, vedere IBMTCP/IPforz/OSCICSTCP/IPSocket Interface GuideandReference,DocumentNumberSC31-7131-03,Section6.6.3WritingYourOwnSecurityLinkModulefortheListener. Per informazioni su IMS, vedere IBMTCP/IPforz/OSIMSTCP/IPApplicationDevelopmentGuideandReference,Document Number SC31-7186-03,Section3.4.4The IMS ListenerSecurityExit. Prima di TCP/IP versione 3R2, il modulo di uscita CICS richiedeva il nome EZACICSE. Tuttavia, è possibile scegliere qualsiasi nome quando si usa TCP/IP versione 3R2. Per IMS, il modulo di uscita deve essere denominato IMSLSECX.
Esistono tre origini alternative di credenziali mainframe.
Identità dell'applicazione COM+ contenente il componente TI.
Identità dell'utente di Windows dell'applicazione TI.
Funzionalità facoltativa di override della sicurezza esplicita di TI.
L'uso della funzionalità di override esplicita dissocia la sicurezza del mainframe dalla sicurezza di Windows; pertanto, il suo uso non è consigliato rispetto alle prime due alternative. L'uso di una delle prime due alternative integra la sicurezza mainframe con la sicurezza di Windows usando la funzionalità Single Sign-On (ESSO) di Host Integration Server Enterprise.
Per impostazione predefinita, il passaggio delle credenziali al mainframe per l'autenticazione non è abilitato. È necessario attivare le proprietà di sicurezza dell'ambiente remoto TI (RE) selezionando la casella di controllo Imposta sicurezza . È necessario fare clic su Autenticare con le credenziali del pacchetto o Autenticare con le credenziali utente anche se si prevede di usare la funzionalità di override della sicurezza esplicita.
Per selezionare l'override esplicito della sicurezza, selezionare la casella di controllo Consenti override dell'applicazione . Questa opzione è la meno consigliata delle tre. Se Consenti override dell'applicazione viene selezionata ma non implementata dall'applicazione, il meccanismo di sicurezza viene ripristinato a seconda delle altre due opzioni di sicurezza selezionate.
Nota
L'override esplicito della sicurezza non è il metodo preferito per specificare le credenziali per un client. Se possibile, è consigliabile usare le parole chiave USERID contesto client e PASSWORD di override. Per altre informazioni, vedere le parole chiave COMTIContext.
Contenuto della sezione
Come usare l'autenticazione facoltativa Explicit-Level override