Identificación de usuarios de HTTP

La identificación es el proceso mediante el cual se establece la identidad de un usuario. Así es como se establece la identidad de un usuario para el protocolo de aplicación HTTP.

Acerca de esta tarea

Para el protocolo de aplicación HTTP, puede identificar al usuario de las siguientes maneras:
  • Se puede obtener un ID de usuario del cliente web utilizando la autenticación básica HTTP.
  • Si el navegador web envía un certificado de cliente, puede utilizar un ID de usuario asociado con el certificado.
    Puede asociar un certificado con un ID de usuario de RACF® de dos maneras:
    • Puede utilizar mandatos RACF para asociar un certificado con un ID de usuario.
    • CICS® puede emitir automáticamente los comandos RACF para asociar un certificado a un ID de usuario (que se obtiene del cliente Web mediante autenticación básica HTTP ).
    La asociación de un ID de usuario de RACF con un certificado le indica cómo hacerlo.
Sólo para las respuestas generadas por la aplicación, también es posible que CICS proporcione un ID de usuario en nombre del cliente web:
  • En un programa analizador que se utiliza en la vía de acceso de proceso para la solicitud.
  • En el atributo USERID de la definición URIMAP para una solicitud.
  • Como ID de usuario predeterminado de CICS .
Si utiliza una definición URIMAP o un programa analizador para establecer un ID de usuario que no ha sido proporcionado por un cliente, o permite que se utilice el ID de usuario predeterminado de CICS , no hay autenticación de la identidad del cliente. Sólo haga esto cuando se comunique con su propio sistema cliente, que ya ha autenticado a sus usuarios, y se comunique con el servidor en un entorno seguro.
Cuando la respuesta HTTP va a ser proporcionada por una aplicación (una respuesta generada por la aplicación), el orden de precedencia de los identificadores de usuario es:
  1. Un ID de usuario que se establece utilizando un programa analizador. Este ID de usuario puede alterar temporalmente un ID de usuario obtenido del cliente web o proporcionado por una definición URIMAP.
  2. ID de usuario que ha obtenido del cliente web utilizando la autenticación básica, o un ID de usuario asociado a un certificado de cliente enviado por el cliente web. Si la autenticación es necesaria para la conexión pero el cliente no proporciona un ID de usuario autenticado, la solicitud se rechaza.
  3. Un ID de usuario que ha especificado en la definición URIMAP para la solicitud.
  4. El ID de usuario predeterminado de CICS , si no se puede determinar ningún otro.

Cuando la respuesta HTTP debe ser proporcionada por una definición URIMAP que especifica una plantilla de documento CICS o un archivo z/OS® UNIX (una respuesta estática), el ID de usuario utilizado para el cliente Web es un ID de usuario que usted obtuvo del cliente Web utilizando autenticación básica, o un ID de usuario asociado con un certificado de cliente enviado por el cliente Web. Para respuestas estáticas, no es posible proporcionar un ID de usuario en nombre del cliente web, ni alterar temporalmente un ID de usuario autenticado obtenido de un cliente web.

Para respuestas estáticas, CICS sólo utiliza un ID de usuario proporcionado si especifica la comprobación de seguridad de recursos para la transacción. No se necesita ningún ID de usuario predeterminado para las respuestas estáticas. Si el cliente web no proporciona un ID de usuario, no se realiza ninguna comprobación de seguridad de recursos, incluso si la seguridad de recursos está activa para la transacción.

Nota: CICS utiliza la verificación de contraseña para verificar un ID de usuario durante los procesos descritos aquí. CICS aplica una solicitud de verificación completa una vez al día para cada ID de usuario que se utiliza para iniciar sesión en la región CICS . La solicitud de verificación completa utilizando la macro RACROUTE REQUEST = VERIFY hace que RACF registre la fecha y hora del último acceso para el ID de usuario y escriba las estadísticas de usuario.

El método utilizado para identificar al usuario viene determinado por los atributos AUTHENTICATE y SSL de la definición TCPIPSERVICE:

Tabla| 1. Cómo se identifica el usuario de un cliente HTTP
AUTHENTICATE SSL Cómo se identifica al usuario
NO NO o SÍ El cliente no proporciona un ID de usuario. Se puede proporcionar mediante un programa analizador o una definición URIMAP, o se puede permitir que el valor predeterminado sea el ID de usuario predeterminado de CICS , si procede.
NO CLIENTAUTH o ATTLSCONSCIENTE

Si el cliente envía un certificado asociado con un ID de usuario, se aplica dicho ID de usuario, a menos que lo altere temporalmente un programa analizador.

Si el cliente envía un certificado que no está asociado con un ID de usuario, un ID de usuario lo puede proporcionar un programa analizador o una definición URIMAP, o se le puede permitir el valor predeterminado del ID de usuario predeterminado de CICS , si procede.
BASIC todos los valores

Si el cliente envía un certificado asociado con un ID de usuario, se aplica dicho ID de usuario, a menos que lo altere temporalmente un programa analizador.

Si el cliente envía un certificado que no está asociado a un ID de usuario, el ID de usuario se obtiene del cliente, utilizando la autenticación básica HTTP, y el ID de usuario se registra en el certificado.

Si el cliente no envía un certificado, entonces el ID de usuario se obtiene del cliente, utilizando la autenticación básica HTTP y puede ser anulado por un programa analizador.
CERTIFICATE CLIENTAUTH o ATTLSCONSCIENTE

Si el cliente envía un certificado asociado con un ID de usuario, se aplica dicho ID de usuario, a menos que lo altere temporalmente un programa analizador.

Si el cliente envía un certificado que no está asociado con un ID de usuario, o no envía un certificado, la conexión se rechaza.
REGISTRO automático CLIENTAUTH o ATTLSCONSCIENTE

Si el cliente envía un certificado asociado con un ID de usuario, se aplica dicho ID de usuario, a menos que lo altere temporalmente un programa analizador.

Si el cliente envía un certificado que no está asociado a un ID de usuario, el ID de usuario se obtiene del cliente, utilizando la autenticación básica HTTP, y el ID de usuario se registra en el certificado.

Si el cliente no envía un certificado, la conexión se rechaza.
AUTOMATIC NO o SÍ Se obtiene un ID de usuario del cliente, utilizando la autenticación básica HTTP. Esto puede ser alterado temporalmente por un programa analizador.
AUTOMATIC CLIENTAUTH o ATTLSCONSCIENTE

Si el cliente envía un certificado asociado con un ID de usuario, se aplica dicho ID de usuario, a menos que lo altere temporalmente un programa analizador.

Si el cliente envía un certificado que no está asociado a un ID de usuario, el ID de usuario se obtiene del cliente, utilizando la autenticación básica HTTP, y el ID de usuario se registra en el certificado.

Si el cliente no envía un certificado, el ID de usuario se obtiene del cliente, utilizando la autenticación básica HTTP.
Nota:
  1. Esta tabla no lista combinaciones de valores para los atributos AUTHENTICATE y SSL que no son válidos y que no se pueden especificar en la definición TCPIPSERVICE.
  2. Si se utiliza la autenticación básica HTTP, CICS verifica la contraseña. Si la contraseña no es válida, la conexión se rechaza.