従来、z/OSMFユーザーがワークフロー・インスタンスを作成する場合、z/OSMFサーバーにアサインされたユーザーIDがアクセス権限(READ許可)を持つワークフロー定義ファイルを使用することが可能です。
【機能変更点】 ※z/OSMF APAR PH14511
■下記のPTF適用後は、省略時解釈として、ユーザー自身がワークフロー定義ファイルなどのアクセス権限(READ許可)を持つ場合に限り、ワークフロー・インスタンスが作成可能となりました。
※これまで冒頭のようなz/OSMFサーバーIDのアクセス権限だけに依存していた場合は、PTF適用に伴うアクションとして、ユーザー自身のアクセス権限を付与する必要あり
(z/OS V2R2) PTF UI67181
(z/OS V2R3) PTF UI67179
(z/OS V2R4) PTF UI67180
※詳細は、該当PTFのHOLD(ACTION)情報、「z/OS V2R5 Upgrade Workflow」を参照
Step 4.12.3.3 : z/OSMF: Ensure that workflow users are authorized to read workflow files
■当変更に伴い、セキュリティー対応、見直しが完了するまでの短期的な回避策の位置付けで、「SERVER_ID_ACCESS(ON/OFF)」パラメータが提供されました。(省略時値: OFF)
※「ON」パラメータ(非推奨)を明示指定すれば、従来同様のアクセス権限にてワークフロー・インスタンスが作成可能
※SYS1.SAMPLIB(IZUPRM00)メンバーにおいて、「SERVER_ID_ACCESS(OFF)」パラメータが明示指定
■「SERVER_ID_ACCESS」パラメータ明示指定なしの場合(機能変更後のz/OS V2R4省略時値)
【z/OS V2R5以降へ移行時の考慮事項】
■z/OS V2R5、3.1へ移行する際、PARMLIB(IZUPRMxx)メンバーにて「SERVER_ID_ACCESS」パラメータ(ON/OFFによらず)が指定されている場合、構文エラーを示すメッセージ出力を伴い、z/OSMFサーバーが起動できません。
※「SERVER_ID_ACCESS」パラメータのサポートは、z/OS V2R4にて終了
※z/OS V2R5以降では、PARMLIB(IZUPRMxx)メンバーから、「SERVER_ID_ACCESS」パラメータ自体を削除する必要あり(たとえ「OFF」指定でも)
※参照: z/OSMF DOC APAR PH57347
■「SERVER_ID_ACCESS(OFF)」パラメータ指定時の挙動例(z/OS V2R5)
■APAR PH14511のPTF適用後(z/OS V2R4以前)、z/OSMF稼働時に参照するPARMLIB(IZUPRMxx)メンバー向けに次のような対応例を行った場合は、z/OS V2R5以降への移行時に注意が必要です。
対応例① 「SERVER_ID_ACCESS(ON)」パラメータの明示指定
※z/OS V2R5、3.1移行時は、セキュリティー設定の見直しを行い、該当パラメータを削除
対応例➁ 「SERVER_ID_ACCESS(OFF)」パラメータの明示指定(省略時値) ・・・ SYS1.SAMPLIB(IZUPRM00)メンバーに追加された「SERVER_ID_ACCESS(OFF)」パラメータを反映
※z/OS V2R5、3.1移行時は、該当パラメータを削除
以上