Liberty でのユーザーの認証
Liberty サーバーは、ユーザー・レジストリーを使用してユーザーを認証し、認証および許可を含むセキュリティー関連操作を実行するためのユーザーおよびグループの情報を取得します。
このタスクについて
Liberty で認証がどのように機能するかについては、『Liberty: 認証』を参照してください。
構成できる認証タスクは、要件によって異なることがあります。単一ユーザーのみを構成できる quickStartSecurity エレメントを使用していない限り、少なくともユーザー・レジストリーを構成する必要があります。デフォルト値を変更する場合を除いて、JAAS、認証キャッシュ、および SSO のタスクの値を構成する必要はありません。 TAI 構成は、認証を処理するための TAI インターフェースの実装がある場合にのみ構成します。
サブトピック
- Liberty のユーザー・レジストリーの構成
いくつかのタイプのレジストリーに認証用のユーザーおよびグループの情報を保管できます。例えば、基本ユーザー・レジストリー、LDAP レジストリー、またはカスタム・ユーザー・レジストリーを使用できます。 オプションで、 複数の LDAP レジストリーを構成して、構成されたすべてのレジストリーで操作が 実行されるようにできます。例えば、ユーザーを検索するという操作を 実行すると、構成されたすべてのレジストリーで検索が実行されます。 - Liberty での認証キャッシュの構成
認証されたユーザーが Liberty でどのようにキャッシュに入れられるのかを変更できます。 - Liberty の JAAS カスタム・ログイン・モジュールの構成
Liberty サーバーのログイン・モジュールを構成する前または後に、カスタム Java™ Authentication and Authorization Service (JAAS) ログイン・モジュールを構成することができます。 - Java Authentication SPI for Containers (JASPIC) ユーザー・フィーチャーの構成
Liberty サーバーで提供されている com.ibm.wsspi.security.jaspi.ProviderService インターフェースを使用して、インバウンド Web 要求を認証するための JASPIC プロバイダーを開発できます。 - Liberty での LTPA の構成
特定の Lightweight Third Party Authentication (LTPA) 鍵ファイル、ユーザー定義パスワード、および有効期限を使用するように、Liberty サーバーを構成することができます。 - OpenID
OpenID は、ユーザーが複数のアカウントや資格情報セットを管理することなく、複数のエンティティーに対して自身を認証できるオープン・スタンダードです。WebSphere® Application Server Liberty は OpenID 2.0 をサポートし、Web シングル・サインオンにおいてリライング・パーティーの役割を果たします。 - OpenID Connect
OpenID Connect は、OAuth 2.0 プロトコルに基づいて構築された、単純な ID プロトコルおよびオープン・スタンダードです。これにより、クライアント・アプリケーションは、OpenID Connect プロバイダーによって実行された認証を利用してユーザーの ID を検証できます。 - Liberty での OpenID リライング・パーティーの構成
Web シングル・サインオンを利用する OpenID リライング・パーティーとして機能するように、Liberty サーバーを構成することができます。 Liberty の JSON Web トークンの構成
ユーザー ID またはトークンを伝搬するために使用できる JSON Web Token (JWT) トークンを作成およびコンシュームするように Liberty サーバーを構成することができます。JWT を作成またはコンシュームするには、サーバー構成に JWT ビルダーまたは JWT コンシューマーを構成し、次に、提供されているいずれかの API を実装して、トークンをプログラマチックに作成またはコンシュームします。- Liberty での SPNEGO 認証の構成
Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) Web 認証を WebSphere Application Server Liberty に使用することによって、HTTP 要求にシングル・サインオンを使用できます。SPNEGO シングル・サインオンは、HTTP ユーザーがデスクトップで Microsoft® ドメイン・コントローラーに一度だけログインして、Liberty サーバーでのシングル・サインオン (SSO) を実現できるようにします。 - Liberty での LTPA Cookie を使用した SSO 構成のカスタマイズ
シングル・サインオン (SSO) 構成サポートを使用すると、Web ユーザーは、Liberty リソース (HTML、JavaServer Pages (JSP) ファイル、サーブレットなど) にアクセスする際、または同じ Lightweight Third Party Authentication (LTPA) 鍵を共有する複数の Liberty サーバー内のリソースにアクセスする際に、1 回で認証できます。 - Liberty での RunAs 認証の構成
Liberty に対して RunAs 指定を構成することによって、別の ID に認証を委任することができます。 - Liberty での TAI の構成
トラスト・アソシエーション・インターセプター (TAI) を使用して、サード・パーティーのセキュリティー・サービスと統合するように Liberty を構成できます。TAI は、シングル・サインオンの前または後に呼び出すことができます。 - カスタム・フォーム・ログイン・ページの構成
Liberty では、ユーザーが認証クレデンシャルを送信するためのカスタム・フォーム・ログイン・ページを定義することができます。 - Liberty での SAML Web ブラウザー SSO の構成
SAML Web ブラウザー・シングル・サインオン (SSO) サービス・プロバイダーとして機能するように Liberty サーバーを構成できます。 - Liberty での SAML Web インバウンド伝搬の構成
HTTP ヘッダーの SAML トークンを認証トークンとして受け入れるように Liberty サーバーを構成できます。この機能は通常、認証済みユーザーの代わりに SAML を使用するプロキシーまたは RESTful クライアントで使用します。 - OpenID Connect の使用
Liberty サーバーの OpenID Connect は、OAuth 2.0 拡張として実装されます。OpenID Connect プロバイダーは、OpenID Connect 機能を提供するだけではなく、すべての OAuth 2.0 の機能をサポートします。 - 認証フィルター
認証フィルターを使用して、特定の HTTP サーブレット要求が特定のプロバイダーで処理されるかどうかを判別できます。
親トピック: Liberty およびそのアプリケーションの保護
関連概念:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_sec_authenticating
ファイル名: twlp_sec_authenticating.html