WebSphere Application Server, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

WebSphere Application Server 用 Tivoli Access Manager セキュリティー

WebSphere Application Server は、組み込み IBM Tivoli Access Manager クライアント・テクノロジーを提供し、WebSphere Application Server 管理対象リソースを保護します。

以下に説明されている Tivoli Access Manager を使用する上での利点は、Tivoli Access Manager クライアント・コードが Tivoli Access Manager サーバーで使用されている場合にのみ適用されます。

WebSphere Application Server は Java Authorization Contract for Containers (JACC) 仕様をサポートします。JACC には J2EE コンテナーおよび許可プロバイダーの契約要件が詳述されています。 この契約では、許可プロバイダーは、 WebSphere Application Server などの J2EE バージョン 1.4 アプリケーション・サーバーのリソースに対するアクセス決定を、 実行することができます。 WebSphere Application Server に組み込まれている Tivoli Access Manager セキュリティー・ユーティリティーは、 JACC に準拠し、以下のために使用されます。

アプリケーションがデプロイされると、組み込み Tivoli Access Manger クライアントは、アプリケーション・デプロイメント記述子に保管されているポリシーやユーザーおよび役割情報を取り出し、Tivoli Access Manager ポリシー・サーバーに保管します。

Tivoli Access Manager JACC プロバイダーはまた、ユーザーが、WebSphere Application Server によって管理されるリソースへのアクセスを要求すると呼び出されます。

組み込み Tivoli Access Manager クライアント・アーキテクチャー

前の図は、次の一連のイベントを示しています。
  1. 保護リソースにアクセスするユーザーは、 組み込み Tivoli Access Manager クライアントが使用可能な場合に使用するよう構成された、Tivoli Access Manager ログイン・モジュールを使用して認証されます。
  2. WebSphere Application Server コンテナーは、J2EE アプリケーション・デプロイメント記述子からの情報を使用し、 必要な役割メンバーシップを決定します。
  3. WebSphere Application Server は組み込み Tivoli Access Manager クライアントを使用して、Tivoli Access Manager 許可サーバーからの許可決定を要求します。 さらなるコンテキスト情報がある場合も、許可サーバーに渡されます。 このコンテキスト情報は、セル名、J2EE アプリケーション名、および J2EE モジュール名から構成されます。 任意のコンテキスト情報用に指定されたポリシーが Tivoli Access Manager ポリシー・データベースにある場合、許可サーバーはこの情報を使用して、許可決定を行います。
  4. 許可サーバーは、Tivoli Access Manager で保護されたオブジェクト・スペース内の、指定のユーザー用に定義された許可を調べます。 プロテクト・オブジェクト・スペースはポリシー・データベースの一部です。
  5. Tivoli Access Manager 許可サーバーは、組み込み Tivoli Access Manager クライアントにアクセス決定を戻します。
  6. WebSphere Application Server は、Tivoli Access Manager 許可サーバーから戻された決定に基 づいて、保護されたメソッドまたはリソースへのアクセスを認可または拒否します。
その中核で、Tivoli Access Manager は認証および許可フレームワークを提供します。 製品資料を参照すると、デプロイメントについての決定を行うために必要な情報など、Tivoli Access Manager についてさ らに学習できます。 次のガイドは IBM Tivoli Access Manager for e-business information center で入手できます。

Tivoli Access Manager は複数サーバーの集中管理を提供します。

上図は、Tivoli Access Manager によって保護される複数の WebSphere Application Server を示したアーキテクチャーの例です。

参加している WebSphere Application Server は、Tivoli Access Manager ポリシー・データベースのローカル・レプリカを使用し、入力される要求に対する許可の決定を行います。 ローカルのポリシー・データベースは、 マスター・ポリシー・データベースのレプリカです。 マスター・ポリシー・データベースは、 Tivoli Access Manager のシステムの一部としてインストールされています。 参加している WebSphere Application Server ノードのそれぞれでポリシー・データベースのレプリカを持つことにより、 許可の決定を行う場合のパフォーマンスが最適化され、さらに、フェイルオーバーの機能が提供されます。

WebSphere Application Server と同じシステム上に許可サーバーをインストールすることもできますが、 この構成はダイアグラムには示されていません。

このアーキテクチャーの例における、Tivoli Access Manager および WebSphere Application Server のすべてのインスタンスは、 マシン E 上の Lightweight Directory Access Protocol (LDAP) ユーザー・レジストリーを共有しています。

WebSphere Application Server でサポートされる LDAP レジストリーは、Tivoli Access Manager でもサポートされます。

異なる Tivoli Access Manager サーバーについて構成された同一のホストに、別々の WebSphere Application Server プロファイルを置くことも可能です。 そのようなアーキテクチャーでは、複数のプロファイ ルを別々の Java Runtime Environments (JRE) について構成する必要があるため、複数の JRE を同一のホストにイ ンストールする必要があります。




関連概念
許可プロバイダー
関連情報
http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 22, 2008 12:07:38 AM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/csec_TAM_security.html