Sicherheitsebene
Sicherheit auf Anwendungsebene (oder Paketebene) und Sicherheit auf Benutzerebene sind die beiden bevorzugten Methoden der Authentifizierung, da sie Sicherheit auf dem Mainframe mit Windows-Sicherheit integrieren. Die Transaktionsintegrator-Laufzeitumgebung (TI) ruft Anmeldeinformationen entweder von der Windows-Identität der COM+-Anwendung oder von der Identität der Clientanwendung ab, die den TI Automation-Server aufgerufen hat, der die TI-Komponente enthält.
In beiden Fällen sind die Funktionen von Host Integration Server Enterprise Single Sign-On (ESSO) erforderlich. Die Windows-Anmeldeinformationen sind , unchangedoder mapped für einen anderen Satz von Anmeldeinformationen, die für den Mainframe spezifisch sindreplicated. Die Anmeldeinformationen werden dann zur Authentifizierung an den Mainframe gesendet.
Intern funktioniert der Mechanismus wie folgt. Für COM+-Anwendungsidentitätsanmeldeinformationen legt TI die Felder für Benutzer-ID und Kennwort im MC_ALLOCATE Verb auf MS$SAME fest und legt das Sicherheitsfeld auf AP_PGM fest. Dadurch wird HSI informiert, Hostanmeldeinformationen für den Besitzer des derzeit ausgeführten Prozesses abzuleiten.
Für Benutzeranmeldeinformationen legt TI das Sicherheitsfeld im MC_ALLOCATE Verb auf AP_PGM OR'd mit AP_PROXY fest und füllt die Felder Domänen- und Kontoname im Verb-ctl-Block mit den Werten aus, von denen LookupAccountSid es (in der Win32-API) abgerufen wurde. Dadurch wird ESSO informiert, unabhängig vom ausgeführten Prozess Hostanmeldeinformationen für dieses Windows-Konto abzuleiten. Anders ausgedrückt: Der Ausführungsprozess fungiert als Proxy für den echten Benutzer und übergibt die Anmeldeinformationen des echten Benutzers.