为 DB2 for CICS 事务提供授权标识

为了使 CICS 可以将授权标识传递到 DB2， CICS 必须使用 RACF; 必须在 SIT 中指定 SEC=YES。这是因为 CICS 需要将 RACF 访问控制环境元素 (ACEE) 传递到 DB2。

关于此任务

当 CICS 事务的线程 TCB 登录到 DB2 并执行 DB2的登录处理时，它可以提供:

主授权标识。对于 CICS 事务，可以选择主授权标识。它可以是 CICS 用户的用户标识或操作员标识，终端标识或事务标识; 也可以是您指定的标识。用作主授权标识的标识由 DB2ENTRY 定义 (对于条目线程) 或 DB2CONN 定义 (对于池线程和命令线程) 中的属性确定。为 CICS 事务提供主授权标识指示如何为 CICS 事务选择主授权标识。
一个或多个辅助授权标识。可以使用 RACF 组的名称或组列表作为辅助授权标识。这具有以下优点: 您可以将 DB2 特权和权限授予 RACF 组，而不是授予每个单独的 CICS 用户。要使用辅助授权标识，请使用 DB2ENTRY 定义中的 AUTHTYPE 属性 (对于条目线程) 或 DB2CONN 定义中的 AUTHTYPE 或 COMAUTHTYPE 属性 (对于池线程或命令线程) 来指定 GROUP 选项。您还需要替换缺省 DB2 登录出口例程 DSN3@SGN，因为缺省例程不会将辅助授权标识传递给 DB2。指定 GROUP 选项时，会自动将主授权标识定义为与事务关联的 CICS 用户的用户标识。为 CICS 事务提供辅助授权标识指示如何设置和使用辅助授权标识。

选择 CICS 事务向 DB2 提供的授权标识的关键注意事项是您已选择在 DB2 地址空间中进行安全性检查的安全性机制。此安全性检查涵盖对 DB2 命令，计划和动态 SQL 的访问。您可以选择通过以下方式执行此安全检查:

DB2自己的内部安全性。
RACF或等效的外部安全性管理器。
部分是 DB2，部分是 RACF。

如果要将 RACF 用于 DB2 地址空间中的部分或全部安全性检查，那么登录到 DB2 的 CICS 事务必须 通过下列其中一种方法提供授权标识:

在线程 (DB2ENTRY 或 DB2CONN) 的相应定义中指定 AUTHTYPE (USERID) 或 COMAUTHTYPE (USERID) ，以将与事务关联的 CICS 用户的用户标识作为主授权标识提供给 DB2 。
在线程 (DB2ENTRY 或 DB2CONN) 的相应定义中指定 AUTHTYPE (GROUP) 或 COMAUTHTYPE (GROUP) ，以将与事务关联的 CICS 用户的用户标识作为主授权标识提供给 DB2 ，并将 RACF 组或组列表的名称作为辅助授权标识。
在线程 (DB2ENTRY 或 DB2CONN) 的相应定义中指定 AUTHTYPE (SIGN) ，并在 DB2CONN的 SIGNID 属性中指定 CICS 区域用户标识，以将 CICS 区域标识作为主授权标识提供给 DB2 。

请注意，如果 CICS 区域中的 RACF 访问控制环境元素 (ACEE) 以影响 CICS DB2 连接设施的方式更改，那么在发生登录之前， DB2 不会知道此更改。您可以使用 CEMT 或 EXEC CICS SET DB2CONN SECURITY (REBUILD) 命令使 CICS DB2 连接设施在下次复用线程时或在已注册的 TCB 上构建线程时发出 DB2 登录。这将确保使 DB2 了解安全性更改。