Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Proteggi e semplifica l'accesso degli utenti in un database federativo Db2 su AWS utilizzando contesti affidabili
<a name="secure-and-streamline-user-access-in-a-db2-federation-database-on-aws-by-using-trusted-contexts"></a>

*Sai Parthasaradhi, Amazon Web Services*

## Riepilogo
<a name="secure-and-streamline-user-access-in-a-db2-federation-database-on-aws-by-using-trusted-contexts-summary"></a>

Molte aziende stanno migrando i propri carichi di lavoro mainframe legacy su Amazon Web Services (AWS). Questa migrazione include lo spostamento di IBM Db2 per z/OS database a Db2 per Linux, Unix e Windows (LUW) su Amazon Elastic Compute Cloud (Amazon). EC2 Durante una migrazione graduale da locale ad AWS, gli utenti potrebbero dover accedere ai dati in IBM Db2 z/OS e in Db2 LUW su Amazon EC2 fino alla completa migrazione di tutte le applicazioni e i database su Db2 LUW. In questi scenari di accesso remoto ai dati, l'autenticazione degli utenti può essere difficile perché piattaforme diverse utilizzano meccanismi di autenticazione diversi.

Questo modello illustra come configurare un server federativo su Db2 per LUW con Db2 come database remoto. z/OS Il modello utilizza un contesto affidabile per propagare l'identità di un utente da Db2 LUW a Db2 senza eseguire nuovamente l'autenticazione sul database z/OS remoto. [Per ulteriori informazioni sui contesti affidabili, vedere la sezione Informazioni aggiuntive.](#secure-and-streamline-user-access-in-a-db2-federation-database-on-aws-by-using-trusted-contexts-additional)

## Prerequisiti e limitazioni
<a name="secure-and-streamline-user-access-in-a-db2-federation-database-on-aws-by-using-trusted-contexts-prereqs"></a>

**Prerequisiti**
+ Un account AWS attivo
+ Un'istanza Db2 in esecuzione su un'istanza Amazon EC2 
+ Un Db2 remoto per z/OS database in esecuzione in locale
+ La rete locale connessa ad AWS tramite AWS [ Site-to-SiteVPN o AWS](https://aws.amazon.com/vpn/) [Direct Connect](https://aws.amazon.com/directconnect/)

## Architecture
<a name="secure-and-streamline-user-access-in-a-db2-federation-database-on-aws-by-using-trusted-contexts-architecture"></a>

**Architettura Target**

![Il mainframe locale si connette tramite server Db2 e VPN locali al database Db2 attivo. EC2](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/9e04f0fe-bae2-412a-93ac-83da50222017/images/0a384695-7907-4fb8-bb7e-d170dcc114af.png)


## Tools (Strumenti)
<a name="secure-and-streamline-user-access-in-a-db2-federation-database-on-aws-by-using-trusted-contexts-tools"></a>

**Servizi AWS**
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) fornisce capacità di calcolo scalabile nel cloud AWS. Puoi avviare tutti i server virtuali di cui hai bisogno e dimensionarli rapidamente.
+ [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) ti aiuta a trasferire il traffico tra le istanze che avvii su AWS e la tua rete remota.

**Altri strumenti**
+ [db2cli è il comando CLI](https://www.ibm.com/docs/en/db2/11.5?topic=commands-db2cli-db2-interactive-cli) (Interactive Command Line Interface) di Db2.

## Epiche
<a name="secure-and-streamline-user-access-in-a-db2-federation-database-on-aws-by-using-trusted-contexts-epics"></a>

### Abilita la federazione sul database Db2 LUW in esecuzione su AWS
<a name="enable-federation-on-the-db2-luw-database-running-on-aws"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Abilita la federazione sul DB DB2 LUW. | Per abilitare la federazione su DB2 LUW, esegui il comando seguente.<pre>update dbm cfg using federated YES</pre> | DBA | 
| Riavviare il database. | Per riavviare il database, esegui il comando seguente.<pre>db2stop force;<br />db2start;</pre> | DBA | 

### Catalogare il database remoto
<a name="catalog-the-remote-database"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Catalogare il z/OS sottosistema Db2 remoto. | Per catalogare il z/OS database Db2 remoto su Db2 LUW in esecuzione su AWS, usa il seguente comando di esempio.<pre>catalog TCPIP NODE tcpnode REMOTE mainframehost SERVER mainframeport</pre> | DBA | 
| Catalogare il database remoto. | Per catalogare il database remoto, utilizzare il seguente comando di esempio.<pre>catalog db dbnam1 as ndbnam1 at node tcpnode</pre> | DBA | 

### Crea la definizione del server remoto
<a name="create-the-remote-server-definition"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Raccogli le credenziali utente per il database Db2 z/OS remoto. | Prima di procedere con i passaggi successivi, raccogli le seguenti informazioni:[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/secure-and-streamline-user-access-in-a-db2-federation-database-on-aws-by-using-trusted-contexts.html) | DBA | 
| Crea il wrapper DRDA. | Per creare il wrapper DRDA, esegui il comando seguente.<pre>CREATE WRAPPER DRDA;</pre> | DBA | 
| Crea la definizione del server. | Per creare la definizione del server, esegui il seguente comando di esempio.<pre>CREATE SERVER ndbserver<br />TYPE DB2/ZOS VERSION 12<br />WRAPPER DRDA<br />AUTHORIZATION "dbuser1" PASSWORD "dbpasswd" OPTIONS ( DBNAME 'ndbnam1',FED_PROXY_USER 'ZPROXY' );</pre><br />In questa definizione, `FED_PROXY_USER` specifica l'utente proxy che verrà utilizzato per stabilire connessioni affidabili al database Db2 z/OS . L'ID utente e la password di autorizzazione sono necessari solo per creare l'oggetto server remoto nel database Db2 LUW. Non verranno utilizzati in seguito durante il runtime. | DBA | 

### Crea mappature degli utenti
<a name="create-user-mappings"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Crea una mappatura utente per l'utente proxy. | Per creare una mappatura utente per l'utente proxy, esegui il comando seguente.<pre>CREATE USER MAPPING FOR ZPROXY SERVER ndbserver OPTIONS (REMOTE_AUTHID 'ZPROXY', REMOTE_PASSWORD 'zproxy');</pre> | DBA | 
| Crea mappature utente per ogni utente su Db2 LUW. | Crea mappature utente per tutti gli utenti del database Db2 LUW su AWS che devono accedere ai dati remoti tramite l'utente proxy. Per creare le mappature degli utenti, esegui il comando seguente.<pre>CREATE USER MAPPING FOR PERSON1 SERVER ndbserver OPTIONS (REMOTE_AUTHID 'USERZID', USE_TRUSTED_CONTEXT 'Y');</pre><br />L'istruzione specifica che un utente su Db2 LUW (`PERSON1`) può stabilire una connessione affidabile al database Db2 remoto (). z/OS `USE_TRUSTED_CONTEXT 'Y'` Dopo aver stabilito la connessione tramite l'utente proxy, l'utente può accedere ai dati utilizzando l'ID utente Db2 z/OS (). `REMOTE_AUTHID 'USERZID'` | DBA | 

### Crea l'oggetto contestuale affidabile
<a name="create-the-trusted-context-object"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Crea l'oggetto contestuale affidabile. | Per creare l'oggetto di contesto affidabile sul z/OS database Db2 remoto, utilizzate il seguente comando di esempio.<pre>CREATE TRUSTED CONTEXT CTX_LUW_ZOS<br />BASED UPON CONNECTION USING SYSTEM AUTHID ZPROXY<br />ATTRIBUTES (<br />ADDRESS '10.10.10.10'<br />)<br />NO DEFAULT ROLE<br />ENABLE<br />WITH USE FOR PUBLIC WITHOUT AUTHENTICATION;</pre><br />In questa definizione, `CTX_LUW_ZOS` è un nome arbitrario per l'oggetto di contesto affidabile. L'oggetto contiene l'ID utente proxy e l'indirizzo IP del server da cui deve provenire la connessione affidabile. In questo esempio, il server è il database Db2 LUW su AWS. È possibile utilizzare il nome di dominio anziché l'indirizzo IP. La clausola `WITH USE FOR PUBLIC WITHOUT AUTHENTICATION` indica che la modifica dell'ID utente su una connessione affidabile è consentita per ogni ID utente. Non è necessario fornire una password. | DBA | 

## Risorse correlate
<a name="secure-and-streamline-user-access-in-a-db2-federation-database-on-aws-by-using-trusted-contexts-resources"></a>
+ [Impianto di controllo degli accessi alle risorse IBM (RACF)](https://www.ibm.com/products/resource-access-control-facility)
+ [Federazione IBM Db2 LUW](https://www.ibm.com/docs/en/db2/11.5?topic=federation)
+ [Contesti affidabili](https://www.ibm.com/docs/en/db2-for-zos/13?topic=contexts-trusted)

## Informazioni aggiuntive
<a name="secure-and-streamline-user-access-in-a-db2-federation-database-on-aws-by-using-trusted-contexts-additional"></a>

**Contesti affidabili Db2**

Un contesto affidabile è un oggetto di database Db2 che definisce una relazione di trust tra un server federato e un server di database remoto. Per definire una relazione di fiducia, il contesto affidabile specifica gli attributi di fiducia. Esistono tre tipi di attributi di fiducia:
+ L'ID di autorizzazione del sistema che effettua la richiesta iniziale di connessione al database
+ L'indirizzo IP o il nome di dominio da cui viene effettuata la connessione
+ L'impostazione di crittografia per le comunicazioni di dati tra il server del database e il client del database

Una connessione affidabile viene stabilita quando tutti gli attributi di una richiesta di connessione corrispondono agli attributi specificati in qualsiasi oggetto di contesto affidabile definito sul server. Esistono due tipi di connessioni affidabili: implicite ed esplicite. Dopo aver stabilito una connessione implicita affidabile, un utente eredita un ruolo che non gli è disponibile al di fuori dell'ambito di tale definizione di connessione affidabile. Dopo aver stabilito una connessione affidabile esplicita, gli utenti possono attivare la stessa connessione fisica, con o senza autenticazione. Inoltre, agli utenti Db2 possono essere concessi ruoli che specificano privilegi utilizzabili solo all'interno della connessione affidabile. Questo modello utilizza una connessione esplicita e affidabile.

*Contesto attendibile in questo modello*

Una volta completato il pattern, PERSON1 su Db2 LUW accede ai dati remoti da Db2 utilizzando un contesto z/OS fidato federato. La connessione per PERSON1 viene stabilita tramite un utente proxy se la connessione proviene dall'indirizzo IP o dal nome di dominio specificato nella definizione del contesto affidabile. Dopo aver stabilito la connessione, PERSON1 l'ID z/OS utente Db2 corrispondente viene cambiato senza riautenticarsi e l'utente può accedere ai dati o agli oggetti in base ai privilegi Db2 impostati per quell'utente.

*Vantaggi dei contesti fidati federati*
+ Questo approccio mantiene il principio del privilegio minimo eliminando l'uso di un ID utente o di un'applicazione comune che richiederebbe un superset di tutti i privilegi richiesti da tutti gli utenti.
+ La vera identità dell'utente che esegue la transazione sia sul database federato che su quello remoto è sempre nota e può essere verificata.
+ Le prestazioni migliorano perché la connessione fisica viene riutilizzata tra gli utenti senza che il server federato debba eseguire nuovamente l'autenticazione.