WebSphere Application Server, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

認証メカニズム

認証メカニズム は、クレデンシャルが別の Java プロセスに転送可能かどうかなどのセキュリティー情報に関するルールや、 セキュリティー情報がクレデンシャルとトークンの両方に保管される場合のフォーマットを定義します。

認証 は、クライアントが特定のコンテキストにおいて、 主張する本人または物であるかという、本人性を確立するプロセスです。 クライアントは、エンド・ユーザー、マシン、アプリケーションのいずれかです。 一般的に WebSphere Application Server の認証メカニズムは、 ユーザー・レジストリー と密接にコラボレーションします。 ユーザー・レジストリーはユーザーおよびグループのアカウントのリポジトリーで、 認証の実行時に認証メカニズムによって使用されます。 認証メカニズムは、 正常に認証されたクライアント・ユーザーの内部製品表記である信任状 の作成を担当します。 すべての信任状が同等に作成されるわけではありません。 信任状の能力は、構成される認証メカニズムで決まります。

この製品では複数の認証メカニズムを提供していますが、 一度に構成できるアクティブな 認証メカニズムは 1 つだけです。 アクティブな認証メカニズムは、 WebSphere Application Server グローバル・セキュリティーの構成時に選択されます。

認証プロセス

この図は、認証プロセスを示しています。 認証が必要なのは、エンタープライズ Bean クライアントと Web クライアントが保護リソースにアクセスする場合です。 サーブレットまたはその他のエンタープライズ Bean または純粋なクライアントなどの エンタープライズ Bean クライアントは、 以下のプロトコルの 1 つを使用して、Web アプリケーション・サーバーに認証情報を送信します。
  • Common Secure Interoperability Version 2 (CSIv2)
  • Secure Authentication Service (SAS)
    注:

前の図に示すように、Web クライアントは、HTTP または HTTPS プロトコルを使用して認証情報を送信します。

認証情報は、基本認証 (ユーザー ID およびパスワード)、 証明書トークン (Lightweight Third Party Authentication (LTPA) の場合)、 またはクライアント証明書です。 Web 認証は、Web 認証モジュールによって行われます。

エンタープライズ Bean 認証は、 CSIv2 および SAS 層にある Enterprise JavaBean (EJB) 認証モジュールによって実行されます。

エンタープライズ Bean 認証は、 Enterprise JavaBean (EJB) 認証モジュールによって実行されます。

認証モジュールは、Java Authentication and Authorization Service (JAAS) ログイン・モジュールを使用してインプリメントされます。 Web オーセンティケーターおよび EJB オーセンティケーターは、ログイン・モジュール (2) に認証データを渡し、これによりデータを認証するために 以下のメカニズムを使用することができます。

  • LTPA
  • Simple WebSphere Authentication Mechanism (SWAM)

認証モジュールは、 システムで構成されたレジストリーを使用して認証を実行します (4)。 ローカル OS、Lightweight Directory Access Protocol (LDAP)、および カスタム・レジストリーという 3 つのタイプのレジストリーがサポートされています。 ローカル OS または LDAP ユーザー・レジストリーのどちらかのレジストリーの代わりに、 IBM が指定するレジストリー・インターフェースに従う外部レジストリーの実装を使用することができます。

ログイン・モジュールは、認証後に JAAS サブジェクトを作成し、 このサブジェクトの公開クレデンシャル・リストに、認証データから派生したクレデンシャルを保管します。 クレデンシャルは、Web オーセンティケーターまたはエンタープライズ Bean オーセンティケーターに戻されます (5)。

Web オーセンティケーターおよびエンタープライズ Bean オーセンティケーターは、受け取ったクレデンシャルを、 現在許可サービスが詳細なアクセス制御検査の実行に使用しているオブジェクト・リクエスト・ブローカー (ORB) に保管します。 クレデンシャルが転送できる場合は、 他のアプリケーション・サーバーに送信されます。




サブトピック
LTPA (Lightweight Third Party Authentication)
トラスト・アソシエーション
シングル・サインオン
セキュリティー属性の伝搬
SWAM (Simple WebSphere Authentication Mechanism)
UserRegistry インターフェース・メソッド
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 22, 2008 12:07:38 AM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/csec_aumech.html