Übersicht

Ein Adapter ist eine Schnittstelle zwischen einer verwalteten Ressource und einem IBM® Security Identity-Server.

Der Adapter arbeitet mit dem Produkt zSecure RACF in einer UNIX System Services-Umgebung von z/OS.
  • Er gibt die Ergebnisse der Befehle für die zSecure RACF-CARLa-Scripts zurück. Hierzu gehört auch die Nachricht über den Erfolg oder das Fehlschlagen einer Anforderung an den IBM Security Identity-Server.
  • Er verarbeitet die Anforderungen zum Hinzufügen, Ändern oder Löschen von RACF-Benutzeraccounts mithilfe des aufrufbaren Services R_admin (IRRSEQ00).
Die folgende Abbildung veranschaulicht die einzelnen Komponenten des Adapters.
Abbildung 1. Komponenten von zSecure RACF Adapter
Adapter

Empfängt und verarbeitet Anforderungen von IBM Security Identity Governance and Intelligence. Der Adapter ist in der Lage, Mehrfachanforderungen zu verarbeiten. Jede Anforderung bewirkt, dass eine TSO/E- oder IRRSEQ00-basierte Befehlstransaktion ausgeführt wird. Die Binärdateien des Adapters und die zugehörigen externen Dateien befinden sich in der UNIX System Services-Umgebung von z/OS.

Datenabgleichsprozessor

Dient als TSO-basierte Befehlstransaktion, die den Datenabgleichsjob (AGRJ6) übergibt, von dem die CARLa-Scripts ausgeführt werden, wenn für die Registry-Einstellung RUNREP der Wert TRUE festgelegt ist. Der Adapter führt die TSO/E-Befehle aus der UNIX System Services-Umgebung aus. Er erfasst die vom Datenabgleichsjob (AGRJ6) zurückgegebenen Ergebnisse aus dem EXPORT-Datensatz, der während der Installation angegeben wird.

Die Serveranforderung wird von einer RACF-Benutzer-ID begleitet, die zum Durchführen des Datenabgleichs verwendet wird. Bei dieser Benutzer-ID kann es sich um die Agenten-ID oder eine Ersatz-ID (SURROGAT-ID) handeln. Diese Benutzer-ID kann für einen partiellen Datenabgleich verwendet werden, der sich nach den Berechtigungen (d. h. dem Geltungsbereich) der verwendeten ID richtet. Weitere Informationen zu Berechtigungen enthält das Handbuch RACF Security Administrator's Guide.

Die Ausführung des Adapters erfolgt in 'Agentenmodus' und der Adapter muss unter z/OS installiert werden. Pro RACF-Datenbank und zSecure RACF-Produktinstallation wird ein Adapter installiert.

Befehlsprozessor

Dient als überwiegend C-basierte Schnittstelle zur auf dem aufrufbaren Service R_admin basierenden Transaktion zur Befehlsausführung.

Bei Operationen zum LÖSCHEN von Accounts verwendet der Prozessor tsocmd, um zu prüfen, ob es für den Account zu löschende generische Dateiprofile gibt.

Zum Entfernen von Berechtigungen für Ressourcenprofile aus einem Account verwendet der Prozessor CKGRACF. CKGRACF ist für das Ausführen über eine APF-autorisierte zSecure-Installation erforderlich.

Verbindungstestprozessor

Der Verbindungstestprozessor wird initialisiert, wenn eine Testverbindung für den IBM Security Identity-Server ausgeführt wird. Der Prozessor erfasst Versionsinformationen aus dem Adapter, RACF und den zSecure RACF-Produkten, die auf dem z/OS-System installiert sind. Die Informationen werden auf dem IBM Security Identity-Server gespeichert.

Die RACF-Versionsinformationen werden aus der RACF-DFV-Vektortabelle (RACF Communications Vector Table - RCVT) erfasst. Die zSecure-Versionsinformationen werden mithilfe des CARLa-Befehls 'SHOW CKRSITE' erfasst, der sich in der Datei schreibgeschütztes_adapterausgangsverzeichnis/bin/version.cmd befindet.

Im ursprünglichen Adapterrelease war CKGRACF zum Erfassen der zSecure-Versionsinformationen implementiert. CKGRACF wurde durch CKRCARLA ersetzt, da dieses keine APF-autorisierte zSecure-Installation erfordert.