Sign-on/Sign-off Migration Administration Utilisateurs Terminaux Transactions

C’est le temps des décisions pour les sécurités internes CICS

Les sécurités internes de CICS ont été supprimées dans toutes les nouvelles versions de CICS que ce soit sous MVS ou VSE. Les sites qui vont changer de versions sont contraints de prendre cette situation en considération avant d’évoluer vers une nouvelle version de CICS et de se poser les questions suivantes :

• Est-ce que nous achetons un produit complet pour assurer les sécurités externes ?
  • si oui quel budget formation sera nécessaire ?
  • combien de temps la mise en place du produit va-t-elle durer ?
  • que faire si je veux seulement des sécurités dans CICS ?
    
• Comment pouvons nous sécuriser nos transactions CICS ? 
  La sécurité des transactions ne peut plus être définie au niveau des transactions CICS.
  
• Devons-nous changer les programmes CICS pour retrouver le USERID et OPID à partir des commandes EXEC CICS INQUIRE/ASSIGN ?
  
• Comment distinguer les utilisateurs dans CICS s’ils ne doivent plus faire de ‘sign-on’ ?
  
• Sans CICS/SignOn, vous avez 2 choix : Installer un système de sécurité surdimensionné ou travailler sans aucune sécurité CICS en place.

La solution :

• Le produit CICS/SignOn permet une intégration transparente des Signon/Signoff dans les nouvelles versions de CICS qui n’ont plus de sécurités internes. CICS/SignOn donne aux utilisateurs la possibilité de faire des Signon/Signoff comme ils le faisaient auparavant avec les sécurités internes de CICS. Les utilisateurs n'ont pas besoin d'être formés, les applications ne sont pas modifiées.
  
• CICS/SignOn s'adresse aux environnements CICS qui souhaitent évoluer vers les nouvelles versions de CICS, mais qui ne veulent pas de système de sécurité externe surdimensionné. CICS/SignOn permet aux utilisateurs CICS de faire des Signon/Signoff, d'assurer la sécurité des transactions et la sécurité des terminaux afin de permettre aux programmes de continuer de faire des EXEC CICS INQUIRE/ASSIGN par USERID et OPID.
  
• CICS/SignOn donne à vos utilisateurs la possibilité de se signer on/off dans CICS avec la même approche qu’avec les sécurités natives de CICS. .
  
• Vos définitions de sécurité des transactions existantes, terminaux et USERID peuvent être automatiquement migrées rapidement et facilement en une simple étape.
  
• CICS/SignOn fonctionne sous Transaction Server pour OS/390 1.1.0 et au dessus, MVS CICS/ESA 3.x et 4.1 et VSE CICS/ESA 2.2 et au dessus.

Généralités :

Conceptuellement CICS/SignOn fournit deux grandes fonctions. La fonction Signon/Signoff qui permet aux utilisateurs de se signer ON ou OFF dans CICS et la fonction Sécurité Transaction qui permet une autorité de Sécurité aux utilisateurs pour accéder à certaines ou  à toutes les transactions CICS.

La Fonction Signon/Signoff

• Le processus de Sign ON ou OFF par les utilisateurs a été intentionnellement développé avec les mêmes caractéristiques que l’ancien système Signon/Signoff interne de CICS. Les utilisateurs doivent être en mesure de se signer On ou Off sans aucune formation ou nouvelle instruction. Pour se signer ON l’utilisateur saisit la transaction de signon (CSSN ou CESN) et l’écran de CICS/SignOn est affiché. L’utilisateur saisit son USERID et son mot de passe. Le mot de passe est vérifié et CICS/SignOn affiche un écran avec le message ‘signon is complete’. L’utilisateur a ainsi terminé sa procédure de signon. Le code source est fourni pour ces deux écrans afin de vous permettre de les personnaliser en y ajoutant votre logo, des messages etc...
  
• La moitié de la fonction Signon/Signoff qui n’est pas visible est une interface transparente permet à tous vos programmes exécutant la commande ‘EXEC CICS INQUIRE/ASSIGN’ pour le USERID et le OPID de permettre à CICS/SignOn de fournir le USERID et le OPID corrects. Aucun changement dans vos programmes, ceci est fait automatiquement par CICS/SignOn.
  
• L’utilisateur fait un Sign Off en saisissant la transaction CSSF ou CESF. CICS/SignOn déconnecte l’utilisateur et affiche le message ‘SignOff is complete’.
  
• Si vous installez CICS/SignOn pour la première fois, vous pouvez utiliser l’utilitaire de migration pour convertir automatiquement et en quelques minutes vos définitions utilisateurs à partir de l’ancien système de sécurité de CICS vers CICS/SignOn.

Sécurité Transactions

• La Sécurité Transaction vous permet de sécuriser des transactions CICS vis à vis d’utilisateurs et/ou terminaux non autorisés. Le concept d’affecter 1-64(clés CICS) à des transactions, utilisateurs et terminaux est utilisé pour sécuriser les transactions CICS. Si vous vous souvenez du concept ‘clés CICS’ de l’ancien système de sécurités interne de CICS, ce concept est le même dans CICS/SignOn. Les utilisateurs ou terminaux peuvent être définis avec des clés de 1-64 dans n’importe quelles combinaisons. Les transactions CICS sont aussi définies avec des clés de 1-64. Si un utilisateur entre dans une transaction et que toutes les clés de l’utilisateur correspondent aux clés de la transaction, l’utilisateur peut alors exécuter la transaction. Si les clés ne correspondent pas l’utilisateur reçoit le message ‘violation des sécurités’ et il lui est demandé d’exécuter la transaction de sécurité de nouveau. Il est important de noter que l’ancien système de sécurité de CICS limitait les transactions CICS à la clé 1. CICS/SignOn vous permet de définir des clés multiples (jusqu'à 64) pour chaque transaction CICS, vous donnant de ce fait de plus nombreuses combinaisons d’utilisateurs, terminaux, transactions et clés. Les violations de sécurité sont enregistrées dans le CICS donnant des informations pertinentes telles que la date, l’heure, l’utilisateur, la transaction concernée et la raison de la violation (les clés ne correspondent pas, l’utilisateur ne s’est pas signé  ou des modifications de données ont été détectées etc...)
  
• La définition des ressources (transactions, utilisateurs, terminaux) dans CICS est faite à partir des écrans d’administration. Les ressources sont dynamiques et peuvent être ajoutées en mises à jour à tout moment dans votre système CICS. Pas d’arrêt de CICS nécessaire pour prendre en compte les nouveaux changements de vos ressources ou sécurités. Vous n’avez pas besoin de définir toutes vos transactions dans CICS/SignOn. Vous avez l’option de spécifier que toutes les transactions qui ne sont pas définies dans CICS/SignOn ne sont autorisées pour personne, ou que les transactions non définies devront assumer une clé de sécurité par défaut et seront exécutées seulement par certains utilisateurs avec cette clé particulière. La clé par défaut de la transaction peut être définie afin de ne pas demander un ‘signon’ de l’utilisateur (clé 1) ou de demander un signon de l’utilisateur (clés de 2-64). Quelque soit la méthode choisie, cela ne prend que quelques secondes pour définir une transaction dans CICS/SignOn.
  
• Pour ceux qui installent CICS/SignOn pour la première fois, vous pouvez utiliser l’utilitaire de migration pour convertir automatiquement et en quelques minutes, les définitions (transactions, utilisateurs, terminaux) existantes de l’ancien système de sécurité de CICS vers CICS/SignOn. Pour votre protection, ‘SECURITE TRANSACTION’ utilise les techniques de cryptage de données pour se protéger des accès non autorisés. Ceci est vrai pour les données se trouvant dans le fichier CICS/SignOn ou les données CICS/SignOn se trouvant n’importe où en mémoire.

Que fait CICS/SignOn ?

• CICS/SignOn remplace l’ancienne sécurité de CICS sans formation complémentaire et coûteuse. Ses fonctions de signon/signoff pour les utilisateurs permettent une intégration transparente avec votre processus de signon CICS exitant.
  
• CICS/SignOn remplace votre ancienne sécurité CICS sans changement dans votre code existant. Pas de changement du code  source requis. Il supporte les commandes que vos programmeurs utilisent pour déterminer l’identification des utilisateurs. Cela est transparent . Par exemple CICS/SignOn supporte les commandes EXEC CICS INQUIRE TERMINAL, EXEC CICS ASSIGN qui retournent le USERID et OPID de l’utilisateur du terminal.
  
• CICS/SignOn remplace votre ancien système de sécurité CICS sans perte de temps dans la conversion. Le temps d’installation est minime parce que la migration vers CICS/SignOn est une simple étape qui prend seulement quelques minutes. Pendant cette opération nos utilitaires de migration importent vos transactions existantes utilisateurs et les sécurités terminaux, tout en faisant à votre administrateur un rapport sur le traitement et les statistiques.
  
• CICS/SignOn supporte complètement les installations multi-région Operation (MRO). Votre application AOR voit la sécurité correspondante à vos utilisateurs quand ceux ci se signent ON.
  
• CICS/SignOn procure un environnement CICS bien plus sécurisé. A la différence de l’ancien système de sécurité DFHSNT, Vos utilisateurs peuvent changer leurs propres mots de passe sans intervention des programmeurs système et sans arrêter la region CICS. Plus important, en dehors de l’utilisateur, personne ne connaît le mot de passe. L’ancien système de sécurité n’était pas sûr parce que pour construire les tables de signon les programmeurs système devaient connaître tous les mots de passe y compris celui des applications confidentielles. Encore plus grave ces mots de passe étaient des membres source assembleur que tout le monde pouvait lire. A la différence des macros DFHSNT dans vos librairies sources, les mots de passe et définitions de CICS/SignOn sont cryptés afin d’être protégés des accès non autorisés.
  
• Avec CICS/SignOn les administrateurs peuvent voir qui est signé ON sur un terminal particulier. La sécurité DFHSNT ne permettait cela qu’en utilisant des produits complémentaires (tel que WHO’s on CICS). CICS/SignOn comprend un outil d’administration on line facile d’utilisation à l’inverse de la sécurité DFHSNT qui demande de parcourir les membres à la main. Vous pouvez gérer la sécurité des utilisateurs, terminaux et transactions à partir d’un terminal dans la région affectée.
  
• CICS/SignOn peut sécuriser les transactions CICS avec un minimum de 64 clés. CICS/SignOn a la possibilité de définir la sécurité d’une transaction CICS avec des clés multiples permettant d’éviter le besoin d’aller au delà des 64 clés CICS et de gagner ainsi un temps considérable pour l’administration.
  
• CICS/SignOn est contrôlé de façon centralisée. Les mots de passe peuvent être restaurés par un administrateur système autorisé. Quand un mot de passe utilisateur est restauré, CICS/SignOn demande à l’utilisateur de changer son mot de passe dès le signon suivant.
  
• CICS/SignOn garde une trace de ce qu’il contrôle. Vous avez un problème de sécurité ? Un log complet des signons/signoffs et des changements est maintenu, ainsi vous pouvez trouver la cause et éliminer le problème.
  
• CICS/SignOn permet de gagner du temps. Parce que CICS/SignOn sécurise CICS et rien d’autre, ainsi votre personnel système ne perd plus de temps avec les choses qui n’ont rien à voir avec CICS. Les autres systèmes de sécurité affectent tout votre système même si vous ne souhaitez sécuriser que CICS.
  
• CICS/SignOn permet une expiration du mot de passe utilisateur. CICS/SignOn donne la possibilité pour l’utilisateur de changer son mot de passe après un nombre de jours spécifié par l’administrateur.
  
  
  Littérature complémentaire