Den Zugriffsschutz musst du in deinem Javajob realisieren.
Da du ja mit diesem zugreifst und den Auftrag dafür über die DTAQ erhältst musst du selber prüfen ob der anfordernde User dafür berechtigt ist.
Das System bzw. QNTC kann dir das nicht abnehmen.
Nun musst du noch unterscheiden:
Mittels com.ibm.as400.access.AS400 greifst du auf AS/400-Ressorcen z.B. für Programmcall zu. Hierfür machst du ja auch eine Anmeldung. Du kannst dich natürlich mit beliebigen Usern anmelden, dafür benötigst du allerdings leider auch die Kennwörter.
Für den Zugriff aufs IFS benötigst du aber keinerlei API's. Dies sind ja ganz normale File-IO's.
Hier erfolgt nun mal der Zugriff aufs QNTC mit dem Job-User.
Ein Ummelden ist leider nicht möglich.

Wie das nun genau bei Webservern geht weiß ich nicht, aber da gibt es ja auch Mechanismen um einen User an der AS/400 anmelden zu können.
Die Webserver-Jobs selber laufen wohl immer über den selben User.