WebSphere® Message
Broker、Tivoli® Federated Identity Manager (TFIM) V6.2、および Tivoli Access Manager (TAM) を使用して、認証、マッピング、および許可を制御できます。
WebSphere Message
Broker は、WS-Trust V1.3 STS セキュリティー・プロファイルを使用して構成されている入力ノードまたは SecurityPEP ノードの単一の TFIM WS-Trust 呼び出しを行います。 そのため、必要なすべての認証、マッピング、および許可操作を実行するために、単一モジュール・チェーンを構成する必要があります。
認証、許可、またはマッピングに WS-Trust v1.3 STS を使用する場合、要求はトラスト・サービスに対して以下のパラメーターを使用して行われます。
これらは STS 処理を制御します。 TFIM V6.2 を使用している場合、以下のパラメーターが TFIM モジュール・チェーンの選択で使用されます。
パラメーター |
値 |
RequestType |
トラスト・サービスに発行される要求のタイプ。
有効な値は以下のとおりです。- Issue
- この値は、セキュリティー・プロファイルで WS-Trust V1.3 STS に設定されている唯一の操作がマッピングの場合に指定できます。 WS-Trust V1.3 STS が認証または許可に指定されている場合には、この値は無効です。
ネーム・スペース修飾値は http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue で、TFIM V6.2 では Issue Oasis URI と表示されます。
- Validate
- この値は、セキュリティー・プロファイルに同じ WS-Trust V1.3 STS プロバイダーの (マッピングに加えて) 認証または許可も含まれる場合に設定する必要があります。
ネーム・スペース修飾値は http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate で、TFIM V6.2 では Validate Oasis URI と表示されます。
|
Issuer |
この値は、SecurityPEP ノードの「基本」タブ、または入力ノードの「セキュリティー」タブにある、IssuedBy プロパティーの有効な設定によって決まります。 |
AppliesTo |
この値は、ノードのタイプによって以下のように決まります。- MQ バインディングのある MQInput または SCAInput ノード:
- ノードの入力キューの WebSphere MQ IRI。
例:
wmq://msg/queue/queue_name@queue_manager_name
- HTTP バインディングのある HTTPInput、SOAPInput、または SOAPAsyncResponse ノード:
- エンドポイント URL。例:
http://myflow/myInputNodePath
- デフォルト (ブランク) WS-Trust AppliesTo アドレスのある、SecurityPEP ノード:
- ノードを含むメッセージ・フローの URN。例:
urn:/broker_name.execution_group_name.flow_name
- WS-Trust AppliesTo アドレスがノードの「拡張」タブに設定された、SecurityPEP ノード:
- プロパティーで構成された URI 値。 この値は通常、続く要求ノードに必要なトークンを取得するためにマッピング操作を呼び出すときに使用されるターゲット・サービスの URL です。
例:
http://remotehost.ibm.com:9080/targetservice
「AppliesTo サービス名」および 「AppliesTo ポート・タイプ」プロパティーも、ノードの 「拡張」タブに設定できます。 WS-Trust 要求にこうしたオプション・エレメントが含まれるのは、それらが構成済みの場合のみです。 これらの値は、通常は有効な QNames です。例: http://myservice.mycom.com:myservicename
SecurityPEP ノードでこれらのプロパティーを設定する場合には、TFIM モジュール・チェーンで以下のようにして構成する必要があります。
|
このセクションでは、TFIM V6.2 および TAM による許可操作を実行するために使用できる許可の構成について説明しています。
セキュリティー・プロファイルで、TFIM V6.2 エンドポイントを許可操作のために設定してください。 セキュリティーが有効な入力ノードまたは SecurityPEP ノードで使用されて、AppliesTo 情報によって解決されるモジュール・チェーンを作成するとき、TFIM TAMAuthorizationSTModule を組み込んで TAM 許可を呼び出す必要があります。
TAMAuthorizationSTSModule には、以下の TFIM STS ユニバーサル・ユーザー・コンテキスト属性が必要です。
- PrincipalName
- 許可するユーザー名。 このユーザー名は、TAM ユーザー・リポジトリーに存在する必要があります。
- ObjectName
- 許可検査が行われるリソースの TAM オブジェクト名。 通常これは、メッセージ・フロー・セキュリティー・マネージャーによってセキュリティーが有効な入力ノードまたは SecurityPEP ノードから渡される、AppliesTo 情報から導出されます。
- Action
- 許可する TAM アクション。例えば、x (eXecute)。
許可の決定を判別する TAM Access Control List (ACL) は、TAMAuthorizationSTSModule モジュールへの TFIM STS ユニバーサル・ユーザー・コンテキスト入力のために ObjectName 属性に設定されたパスを使用する、TAM 保護オブジェクト・スペースにあります。
以下の図は、メッセージ・フローでの ID の認証、マッピング、許可を可能にする、WebSphere Message
Broker、TFIM V6.2、および TAM の構成を示しています。

上記の図中の番号は、以下のイベントの順序に対応しています。
- メッセージがメッセージ・フローに入力されます。
- WS-Trust 要求はブローカーによって発行され、RequestType、Issuer、および AppliesTo プロパティー・セットが指定されます。
- TFIM は、要求の RequestType、Issuer、および AppliesTo プロパティーに基づいて WS-Trust 要求を処理するモジュール・チェーンを選択します。
- モジュール・チェーンに、Validate モードのモジュールが含まれていると認証を実行できます。
このモードは、メッセージ・フローの入力メッセージからの要求に渡されるトークン・タイプに適しています。 例えば、ユーザー名およびパスワードのトークンは、UsernameTokenSTSModule を使用して認証できます。
- モジュール・チェーンは、ID 情報を操作したり、後続のモジュールで使用するために TFIM stsuser オブジェクトで必要なコンテキスト属性を提供する際に、XSLTransformationModule をマッピング・モードで使用していくつかのマッピングを実行しなければなりません。
- モジュール・チェーンは、TAMAuthorizationSTSModule を使用することにより、TAM で許可を実行できます。
- TAMAuthorizationSTSModule は、以下のプロパティーで TAM への要求を行って、許可検査を実行します。
- Action = a (ここで a は stsuser コンテキスト・アクション属性です)。 例えば、eXecute 用の x を以下のコードを使用して設定できます。
<stsuuser:ContextAttributes>
<!-- Action -->
<stsuuser:Attribute name="Action" type="urn:ibm:names:ITFIM:stsmodule:tamazn">
<stsuuser:Value>x</stsuuser:Value>
</stsuuser:Attribute>
</stsuuser:ContextAttributes>
- Action Group = WebService
- Protected Object = ProtectedObjectName (ここで ProtectedObjectName は stsuser コンテキスト・アクション属性です)。 例えば、eXecute 用の x を以下のコードを使用して設定できます。
<stsuuser:ContextAttributes>
<!-- ObjectName -->
<stsuuser:Attribute name="ObjectName" type="urn:ibm:names:ITFIM:stsmodule:tamazn">
<stsuuser:Value>ProtectedObjectName</stsuuser:Value>
</stsuuser:Attribute>
</stsuuser:ContextAttributes>
通常、ProtectedObjectName は要求の AppliesTo 情報に応じて設定されます。
- TAM は、以下によって許可要求を処理します。
- 保護オブジェクト ProtectedObjectName に関連付けられている Access Control List (ACL) を見つけます。
- ACL が、アクション・グループ WebService のアクション a の許可をユーザー (直接指名されたユーザー、または指定グループのメンバーシップを介して間接的に指名されたユーザー) に与えているかどうかを確認します。
- WS-Trust 応答がブローカーに戻されます。 このアクションがマッピング要求の結果である場合、WS-Trust 応答にはマップされた ID トークンが含まれます。
TFIM および TAMF の構成方法の詳細については、IBM® Security Systems インフォメーション・センターを参照してください。