授予对 CICS 区域的访问权

您可以通过在 RACF® APPL 类中定义 CICS APPLID 概要文件来限制终端用户对特定 CICS® 区域的访问。

为此， CICS 区域的 APPLID 为:

z/OS® Communications Server 通用资源名称 (如果将 GRNAME 指定为系统初始化参数)
通用 APPLID (如果在 APPLID 系统初始化参数上指定了一个)
特定 APPLID (如果仅在系统初始化参数上指定了一个 APPLID)

如果在 APPL 类中为 CICS APPLID 定义概要文件，或者为适用于一个或多个具有 UACC (NONE) 的 CICS APPLID 的通用概要文件定义概要文件，那么所有尝试登录到 CICS 区域的终端用户都必须具有对应用于该区域的 APPLID 的概要文件的显式访问权 (作为单个概要文件或作为组的成员)。例如：

RDEFINE APPL cics_region_applid UACC(NONE)  NOTIFY(sys_admin_userid)

对于属于同一 z/OS Communications Server 通用资源名称的所有 CICS 区域，您只需在 RACF 数据库中定义一个 APPL 概要文件名称。 CICSplex 中的所有登录验证 (其中所有终端拥有区域都具有相同的 z/OS Communications Server 通用资源名称) 都是针对相同的 APPL 概要文件进行的。

仅对于 MRO ， APPLID 将从终端拥有区域 (TOR) 传播到用户访问的其他区域，例如，从 TOR 传播到应用程序拥有区域 (AOR) ，以及从 AOR 传播到文件拥有区域 (FOR)。因此:

您不需要在这些区域的 APPL 概要文件中包含 AOR 和 FOR 的用户。
您可以通过拒绝访问其他 APPLID 来强制用户通过 TOR 登录

使用 RACF PERMIT 命令将授权用户添加到 CICS APPL 概要文件的访问列表。例如：

PERMIT cics_region_applid CLASS(APPL) ID(group1,...,groupn) ACCESS(READ)

允许列出的组中定义的所有用户登录到 cics_region_applid。

APPL 类必须处于活动状态才能使此保护生效:

SETROPTS CLASSACT(APPL)

此外，出于性能原因，请考虑使用 RACLIST 来激活 APPL 类中的概要文件。

SETROPTS RACLIST(APPL)

如果 APPL 类已处于活动状态，请使用 SETROPTS 命令刷新存储中 APPL 概要文件:

SETROPTS RACLIST(APPL) REFRESH

注：

当请求 RACF 执行用户登录检查时， CICS 始终将 APPLID 传递给 RACF ，并且 CICS 中没有阻止此操作的机制。
RACF 将未定义的 CICS APPLID 视为 UACC (READ)。
如果 APPL 类处于活动状态，并且 APPL 类中的 CICS 区域存在概要文件，请确保授权的远程 CICS 区域可以通过此方式登录到受保护的 CICS 区域。

有关控制对应用程序的访问权的更多信息，请参阅 z/OS Security Server RACF Security Administrator 's Guide 。