IPIC 用户安全性

用户安全性是指使用表示用户的已认证或已断言的用户标识。此用户标识称为任务用户标识。 CICS® 区域验证任务用户标识是否有权启动请求，以及是否有权访问已启动任务所使用的资源。

用户安全性的用途

用户安全性有多种用途:

它允许将任务用户标识安全上下文从本地 CICS 区域传播到远程 CICS 区域，即使在启动新工作时也是如此。因此，它允许远程 CICS 区域中的任务继续在初始任务用户标识下运行。
它允许远程 CICS 区域根据任务用户标识对从本地 CICS 区域接收的请求进行授权。
它允许在任务用户标识级别进行审计。

用户安全性会导致检查随每个事务请求一起从发送系统流向目标 CICS 区域的安全上下文。它由远程 CICS 区域中 IPCONN 资源定义中的 USERAUTH 属性控制。

图 1 显示用户安全性的资源定义中定义的安全性属性。

安全上下文可以标识下列其中一种类型的用户:

用户安全性检查通过验证已流动的密码或使用 TLS 客户机证书来验证已流动的用户安全上下文。或者，在特定情况下 (请参阅 1 ) ，服务器可以信任来自发送系统的链路已验证请求的身份。在这种情况下，不会进行认证检查，并且服务器会验证本地用户注册表中是否仅存在流动的用户标识。此情况称为可信连接。

用户安全性根据 IPCONN 资源定义上的 USERAUTH 属性验证流动的用户标识及其密码。这些检查在表 1中进行了摘要。

表 1. 识别和认证
USERAUTH 属性	描述
IDENTIFY (请参阅 1 )	声明的用户标识受远程区域信任，但会验证它以检查 RACF® 是否知道此用户标识。
验证	客户机用户标识和密码由远程区域中的 RACF 验证。
LOCAL	未流动用户标识，因此不需要认证。
缺省用户	未流动用户标识，因此不需要认证。

1 USERAUTH(IDENTIFY) 仅在可信链接上有效。因此，限制为满足以下条件:

使用 TLS 客户机认证的 IPIC 连接: 即， TCPIPSERVICE 资源定义指定 SSL(CLIENTAUTH)。
远程套接字由综合系统中的可信路由建立，由 TCP/IP 确定，并由 z/OS Communications Server返回的 SO_CLUSTERCONNTYPE 选项在 CICS 中报告。您可以使用 CICS 命令 INQUIRE IPCONN() CLIENTLOC()来查询此值。

根据链接用户标识的设置以及 IPCONN 资源定义上的 USERAUTH 选项，每个用户请求都可以在表 1中显示的任务用户标识下运行。但是，如果还提供了链接用户标识，那么它将作为辅助用户标识与任务相关联。除了用于事务安全性和资源安全性的所有检查的任务用户标识外，还将使用此辅助用户标识。

表 2。提供链接用户标识时如何标识辅助标识
本地 CICS 区域: `cicsA`		远程 CICS 地区： `cicsB` 和默认用户 ID： `defaultUseridB`
区域用户标识	任务用户标识	区域用户标识	IPCONN 上的 USERAUTH	链接用户标识 *	任务用户标识
`regionUseridA`	`taskUseridA`	`regionUseridB`	LOCAL	`linkUseridB`	`linkUseridB`
`regionUseridA`	`taskUseridA`	`regionUseridB`	LOCAL	`regionUseridA`	`defaultUseridB` **
`regionUseridA`	`taskUseridA`	`regionUseridB`	IDENTIFY 或 VERIFY	`linkUseridB`	`taskUseridA`
`regionUseridA`	`taskUseridA`	`regionUseridB`	IDENTIFY 或 VERIFY	`regionUseridA`	`taskUseridA`
`regionUseridA`	`taskUseridA`	`regionUseridB`	缺省用户	`linkUseridB`	`defaultUseridB` **
`regionUseridA`	`taskUseridA`	`regionUseridB`	缺省用户	`regionUseridA`	`defaultUseridB` **

* 可以在 IPCONN 资源定义中预定义链接用户标识，也可以根据用于入站 IPCONN 资源定义的 TLS 客户机证书动态设置链接用户标识。如果未以这些方式设置链接用户标识，那么缺省为区域用户标识。请参阅工作方式 :IPIC 链接安全性。

建议: ** 避免使用缺省用户标识作为任务用户标识。缺省用户标识不得具有访问资源或运行 CAT 3 事务以外的事务的权限。