Definir perfiles SAE para controlar el acceso a los datos de la recogida

Cree perfiles de recursos SAF para controlar el acceso a datos de recopilación en tiempo real o históricos cuando se utilizan servicios REST de TEMS.

Antes de empezar

El punto final de servicios REST de TEMS GET /data le permite solicitar datos de recopilación. Para ver un ejemplo, consulte Solicitud de datos de recogida.

La seguridad para los servicios REST de TEMS requiere una clase de recurso general SAF denominada $KOBSEC. Para más información, consulte Seguridad de los servicios REST de TEMS.

De forma predeterminada, se permiten todas las solicitudes para recuperar datos de recopilación a menos que se hayan definido perfiles SAF que restrinjan el acceso.

Nota: Si utiliza $KOBSEC como clase de recurso general SAF para la seguridad de la interfaz de usuario 3270 mejorada de OMEGAMON ® ( 3270UI), se aplican las mismas autorizaciones que se han definido para el acceso de consulta a los orígenes de datos en la 3270UI mejorada al recuperar datos de recopilación utilizando los servicios REST de TEMS. La 3270UI mejorada utiliza la misma estructura de denominación para sus perfiles de consulta que utilizan los servicios REST de TEMS para sus perfiles de datos de colección (que se describen en este tema). Para más información sobre los perfiles de consulta mejorados 3270UI, consulta Definir perfiles de consulta para controlar el acceso a las fuentes de datos.

Acerca de esta tarea

La autorización para solicitar datos de recopilación utilizando el punto final de servicios REST de TEMS

GET
/data

se verifica comprobando el acceso a un recurso SAF denominado en el patrón siguiente:

Kpp.node_name.table_name

donde

Kpp: Es el código de producto de la instancia del agente. Por ejemplo, para OMEGAMON for z/OS®, el código de producto es KM5. Consulte Códigos de producto para otros productos.
Importante: Para OMEGAMON for CICS, debe utilizar el valor OMCICS en lugar del código de producto típico KCP.
node_name: Es el nombre del nodo, que es un nombre de sistema gestionado. Un nombre de sistema gestionado normalmente identifica una única instancia de agente de Tivoli Enterprise Monitoring Server. Tenga en cuenta que el formato de los nombres de sistemas gestionados varía según el producto. Consulte la documentación específica del agente para obtener información sobre el formulario utilizado para los nombres de sistemas gestionados.
table_name: Es el nombre de la tabla definida en el agente de producto.

Debe crear un perfil SAF para que coincida con el recurso. Si no existe un perfil SAF coincidente para proteger un recurso determinado, se permite la solicitud.

Como ejemplo, supongamos que desea controlar la capacidad de emitir una solicitud a un agente de OMEGAMON for z/OS que se ejecuta en Sysplex IBMTEST en miembro de Sysplex TSTA, para la tabla LPCLUST. Debe definir un perfil denominado KM5.IBMTEST:TSTA:MVSSYS.LPCLUST especificando el mandato siguiente, que restringe todo el acceso al recurso para todos los usuarios:

RDEFINE $KOBSEC KM5.IBMTEST:TSTA:MVSSYS.LPCLUST UACC(NONE)

De forma más general, puede definir el perfil utilizando el comodín asterisco (*) para restringir todas las solicitudes de datos de recopilación para un producto específico en un nodo específico:

RDEFINE $KOBSEC KM5.node_name.* UACC(NONE)

A continuación, puede otorgar acceso a los perfiles para usuarios individuales o grupos de usuarios.

Procedimiento

Para cada recurso a proteger, especifique los mandatos siguientes en RACF:
```
RDEFINE $KOBSEC Kpp.node_name.table_name UACC(NONE)
SETROPTS RACLIST($KOBSEC) REFRESH
```
Estos mandatos restringen el acceso a todos los usuarios.
Para permitir el acceso a usuarios individuales, especifique el mandato siguiente en RACF:
```
PERMIT Kpp.node_name.table_name ID(userid) ACCESS(READ) CLASS($KOBSEC)
```