wie kommen die Daten dann auf das System?
Oder anders gefragt: wem gehören die Daten auf dem System? Wenn das ohnehin immer der gleiche Benutzer ist und *PUBLIC Zugriff *ALL hat, dann bringt das AS/400-Benutzerprofil gar nichts.
Ein echtes Benutzerprofil zu besitzen, ist schon was! Damit kann man sich nicht nur eventuell in einer 5250-Session anmelden, man kann unter Umständen auch auf Freigaben zugreifen usw. usw., was die Unternehmensleitung, so sie es denn wüsste, in Wirklichkeit wahrscheinlich noch viel weniger will.

Also wenn man die System-Berechtigungsprüfung ohnehin nicht braucht, ist man wesentlich sicherer unterwegs, wenn der Benutzer kein richtiges AS/400-Benutzerprofil hat. Da würde ich dann die Benutzer-Prüfung in der Applikation abfackeln.
Dann kann der Benutzer nur in der Applikation arbeiten, die AS/400 kennt ihn nicht.

Wenn die Rechte aber auf den Objekten definiert und für alle anders sind, dann ist wieder zu raten, den echten Benutzer zu verwenden.

Auf dem System i gibt es meiner Meinung nach keine generelle best practice - hier werden Massanzüge geschneidert und die anderen Teile der Garderobe müssen darauf natürlich auch Rücksicht nehmen. D.h. die häufigste Antwort auf viele derartige Fragen ist: Es kommt drauf an. :-)