主な問題の 1 つは、ユーザー・プロファイルやサイトのセキュリティ要件に関係します。
ユーザー、例えば USERA は通常の 5250 画面使用時は SJP プログラムにアクセスできない方が望ましいでしょう。
さらに、多くのサイトでは、USERA はプロファイル USERA で IBM i ジョブを実行し、監査、ログ、およびセキュリティ情報に「実際」のユーザーが表示されることが強要されています (ただし、多くの同時実行ユーザーに機能を提供する HTTP Web サーバーなどの「スレッド化された」プロセスが IBM i サーバーで次々に使用される際は、この情報は消失します)。
1 つのユーザー・プロファイル USERA での次のような異なる表示を、どのようにサポートすればよいでしょうか?
- 実際の 5250 セッションにサイン・オンした場合、通常のサインオンメニューが表示される。
- RAMP スクリプト経由でサイン・オンした場合、SJP プログラムがメインの「メニュー」として表示される。
この問題にはいくつかの解決策があります。
- RAMP スクリプト経由でログインする場合、IBM i サイン・オン画面のプログラム/プロシージャーオプションを使用して SJP プログラムを指定します。SJP にセキュリティ・ロジックを追加し、ユーザーが実際の 5250 インターフェースを使用して同じ操作を行えないようにします (ポイント2を参照)。
- 共通のメニュー・プログラムを使用する場合、自身が RAMP スクリプトから呼び出されていることを検出してから SJP プログラムを呼び出すよう、そのプログラムを変更できます。同様に、初めに共通メニューを表示し、「非表示」の特別メニュー・オプションを使用して SJP プログラムを呼び出すこともできます。SJP プログラムは、実際の人間のユーザーでは実行不可能な RAMP スクリプトの暗号化交換を実行するなどして、自身が RAMP スクリプトからアクセスされていることを確認できます。
- RAMP スクリプトは、初期プログラムに SJP プログラムが指定された、汎用の "USERX" として初期サイン・オンできます。SJP プログラムは画面を表示して実際のユーザー・プロファイルとパスワードを要求します。RAMP ログオン・スクリプトはこれを埋め込んで戻します。次に IBM API を呼び出して、現在のジョブのユーザー・プロファイルを汎用の USERX から実際のユーザーに変更します。ここでも実際のユーザーでは実行不可能な暗号交換を使って、RAMP スクリプトからのアクセスであることを確認できます。