WebSphere Application Server, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

Common Secure Interoperability バージョン 2 アウトバウンド認証設定

このページを使用して、サーバーが、別のダウンストリーム・サーバーに対してクライアントとして動作するときに サポートする機能を指定します。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「認証」の下で「認証プロトコル」>「CSIv2 アウトバウンド認証」とクリックします。
この管理コンソール・ページは、以下のステップを完了しても表示できます。
  1. サーバー」>「アプリケーション・サーバー」とクリックします。
  2. 「セキュリティー」の下の「サーバー・セキュリティー」をクリックします。
  3. 「追加プロパティー」の下の「CSIv2 アウトバウンド認証」をクリックします。
認証フィーチャーには、以下の層の認証が含まれていて、 これらは同時に使用することができます。
トランスポート層
トランスポート層 (一番下の層) には、識別情報として Secure Sockets Layer (SSL) クライアント 証明書を含む場合があります。
メッセージ層
メッセージ層には、ユーザー ID とパスワード、 または認証済みトークンが含まれている場合があります。
属性層
属性層には、アップストリーム・サーバーからの識別情報で、既に認証済みの識別トークンが含まれている 場合があります。 優先順位は属性層が最も高く、次にメッセージ層、トランスポート層の順になります。 このサーバーが 3 層すべて (属性層、メッセージ層、およびトランスポート層) を送信する場合、ダウンストリーム・サーバーが使用するのは属性層のみです。 SSL クライアント証明書は、それがアウトバウンド要求中に提示された唯一の情報である場合にのみ、 識別情報として使用されます。

「構成」タブ

基本認証

ユーザー ID およびパスワードを、認証のためにクライアントからサーバーに送信するかどうかを指定します。

このタイプの認証は、メッセージ層上で行われます。 基本認証には、クレデンシャル・タイプが転送可能である場合 (例えば、Lightweight Third Party Authentication (LTPA)) に、既に認証されたクレデンシャルからのクレデンシャル・トークンの代行も含まれます。 基本認証は、メッセージ層上の認証のことであり、ユーザー ID とパスワードの認証、およびトークン・ベースの認証のことを 指します。

以下のオプションを使用できます。
常になし
このオプションを選択すると、 このサーバーではダウンストリーム・サーバーにユーザー ID およびパスワード認証情報を送信しません。「常になし」を選択すると、 基本認証を必要とするダウンストリーム・サーバーに対する要求は失敗します。
サポートされる
このオプションを選択すると、このサーバーでは、 ダウンストリーム・サーバーとの認証にユーザー ID とパスワードを指定できるようになります。ただし、 このような認証なしでメソッドを呼び出すこともできます。例えば、サーバーでは、 代わりに匿名の証明書やクライアント証明書を使用することができます。
必須
このオプションを選択すると、このサーバーでは、すべてのメソッド要求に対して、 ダウンストリーム・サーバーとの認証にユーザー ID とパスワードの指定が必要になります。このサーバーは、 インバウンド要求に基本認証をサポートしていないかまたは必要としないサーバーとの要求を開始することはできません。
クライアント証明書認証

サーバーとダウンストリーム・サーバー間で SSL 接続を行う場合に、ダウンストリーム・サーバーがクライアント証明書認証をサポートするとき、このサーバーに対する認証を、構成されている鍵ストアにあるクライアント証明書を使用して行うかどうかを指定します。

通常、クライアント証明書認証はメッセージ層認証よりもパフォーマンスの面で優れていますが、 追加のセットアップをいくつか行う必要があります。この追加ステップには、このサーバーが個人証明書を保有すること、およびダウンストリーム・サーバーがこのサーバーの署名者証明書を保有することについての検証も含まれます。

「クライアント証明書認証」を選択すると、以下のオプションが選択可能になります。
常になし
このオプションを選択すると、このサーバーは、 ダウンストリーム・サーバーとの Secure Sockets Layer (SSL) クライアント証明書認証を試行しません。
サポートされる
このオプションを選択すると、このサーバーでは、 SSL クライアント証明書を使用して、ダウンストリーム・サーバーの認証を行うことができます。ただし、 このような認証なしでメソッドを呼び出すこともできます。例えば、サーバーでは、 代わりに匿名の認証や基本認証を使用することができます。
必須
このオプションを選択すると、このサーバーでは、 SSL クライアント証明書を使用して、ダウンストリーム・サーバーの認証を行う必要があります。
ID アサーション

ダウンストリーム・エンタープライズ Bean の起動中に、 サーバーから別のサーバーへの ID アサーションを行うかどうかを指定します。

表明される ID は、エンタープライズ Bean の RunAs モードで決定される呼び出しクレデンシャルです。 RunAs モードが「クライアント」の場合、この識別はクライアント識別です。 RunAs モードが「System」の場合、この識別はサーバー識別です。 RunAs モードが「指定」である場合、この識別は指定された識別です。 受信サーバーは、識別トークン内の識別を受信するとともに、 クライアント認証トークン内の送信サーバー識別も受信します。 受信サーバーは、送信サーバーの識別を検証して、信頼できる識別であることを確認します。

「アウトバウンド CSIv2 認証 (CSIv2 authentication outbound)」パネルで ID アサーションを指定する場合は、 「インバウンド CSIv2 認証 (CSIv2 authentication inbound)」パネルで、基本認証をサポートあるいは必須として選択する必要があります。 これにより、サーバーは識別トークンと共にサーバー ID をサブミットするので、 受信サーバーは送信サーバーを信頼 できるようになります。基本認証をサポートまたは必要とすると指定しないと、 信頼は確立されず、ID アサーションは失敗します。

ステートフル・セッション

認証中にセキュリティー情報を再利用するかどうかを指定します。 このオプションは、通常パフォーマンスを高めるために使用されます。

クライアントとサーバーが最初に接続するときには、認証を完全に実行する必要があります。 しかし、それ以後のすべての接続では、セッションが引き続き有効である間は、セキュリティー情報を再利用します。 クライアントはコンテキスト ID をサーバーに渡し、その ID を使用してセッションが検索されます。 コンテキスト ID の有効範囲は各接続であり、これにより一意性が保証されます。 認証の再試行が使用可能になっている場合 (デフォルトで) は、セキュリティー・セッションが無効になると クライアント側のセキュリティー・インターセプターは、ユーザーにそれを認識させずにクライアント側のセッションを無効にし、 要求を再度実行依頼します。例えば、セッションがサーバー上にない (サーバーが失敗しオペレーションを再開した) 場合に起こることがあります。

この値が使用不可の場合、すべてのメソッド起動を再認証する必要があります。

ログイン構成

アウトバウンド認証に使用されるシステム・ログイン構成のタイプを指定します。

カスタム・ログイン・モジュールは 、以下のステップを実行することによって、このログイン・モジュールの前または後に追加することができます。
  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「認証」の下の、「JAAS 構成」>「システム・ログイン」>「新規」をクリックします。
カスタム・アウトバウンド・マッピング

カスタム Remote Method Invocation (RMI) アウトバウンド・ログイン・モジュールを使用可能にします。

カスタム・ログイン・モジュールは、事前定義された RMI アウトバウンド呼び出しの前に、 他の関数をマップまたは実行します。

カスタム・アウトバウンド・マッピングを宣言するには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「認証」の下の、「JAAS 構成」>「システム・ログイン」>「新規」をクリックします。
セキュリティー属性の伝搬

アプリケーション・サーバーを使用可能にし、Remote Method Invocation (RMI) プロトコルを使用して、サブジェクトおよびセキュリティー・コンテンツ・トークンを 他のアプリケーション・サーバーに伝搬します。

認証メカニズムとして、Lightweight Third Party Authentication (LTPA) を使用している ことを確認します。セキュリティー属性の伝搬フィーチャーを使用可能にする場合、サポートされる 認証メカニズムは LTPA だけです。LTPA を構成するには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「認証」の下の、 「認証メカニズム」>「LTPA」をクリックします。

デフォルトでは、「セキュリティー属性の伝搬」オプションは使用可能であり、 アウトバウンド・ログイン構成が呼び出されます。このオプションをクリアすると、アプリケーション・サーバーは、 ダウンストリーム・サーバーに追加ログイン情報を伝搬しません。

トラステッド・ターゲット・レルム

現行のレルムとは異なる、 トラステッド・ターゲット・レルムのリスト (パイプ文字 (|) で区切ったもの) を指定します。

WebSphere Application Server バージョン 5.1.1 に先立って、現行のレルムがターゲット・レルムと一致しない場合、認証要求は他のアプリケーション・サーバーにアウトバウンド送信されません。




関連タスク
Common Secure Interoperability バージョン 2 アウトバウンド認証の構成
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 22, 2008 12:07:38 AM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/usec_outbound.html