アプリケーションおよびそれらの環境の保護に関連する主要な概念を説明します。WebSphere Application Server は、複数層のエンタープライズ・コンピューティング・フレームワークの中核をなす部分です。
オープン・アーキテクチャーに基づき、WebSphere Application Server は、エンタープライズ・ソフトウェア・コンポーネントと統合するプラグイン・ポイントを多数提供して、エンドツーエンド・セキュリティーを提供します。
セキュリティー・インフラストラクチャーおよびメカニズムによって、
エンタープライズ・セキュリティー要件に対応することで、Java 2
Platform Enterprise Edition
(J2EE) リソースおよび管理リソースが保護されます。
- グローバル・セキュリティー
- 管理セキュリティーによって、セキュリティーを使用するかどうか、認証が行われるレジストリーのタイプ、
および多くがデフォルトとして動作するその他の値が決定されます。管理セキュリティーの使用可能化を正しく行わないと、
管理コンソールが使用できなくなったり、サーバーが異常終了したりすることがあるので、
正しく計画することが必要です。
- Java 2 セキュリティー
- Java 2 セキュリティーでは、
ポリシー・ベースの、精密なアクセス制御メカニズムが提供されます。
このメカニズムにより、
プロテクトされた特定のシステム・リソースにアクセスが許可される前にアクセス権の検査が行われるため、
全体のシステム保全性が高まります。
Java 2 セキュリティーは、
ファイル入出力、ソケット、およびプロパティーなどのシステム・リソースへのアクセスを保護します。
Java 2 Platform, Enterprise Edition (J2EE) セキュリティー・ガードは、サーブレット、JavaServer Pages (JSP) ファイルおよび Enterprise JavaBeans (EJB) メソッドのような Web リソースにアクセスします。
- ユーザー・レジストリー
- WebSphere Application Server は、複数のタイプのレジストリーとリポジトリーをサポートする実装を提供しています。
これらのタイプには、ローカル・オペレーティング・システム・レジスター、
スタンドアロン Lightweight Directory Access Protocol (LDAP) レジストリー、
スタンドアロン・カスタム・レジストリーが含まれます。
- ローカル・オペレーティング・システムのユーザー・レジストリー
- ローカル・オペレーティング・システムの
レジストリー実装により、WebSphere
Application Server の認証メカニズムは、
ローカル・オペレーティング・システムの
ユーザー・アカウント・データベースを使用できます。
- 認証メカニズム
- 認証メカニズムは、クレデンシャルを他の Java プロセスに転送できるかどうかなどの
セキュリティー情報に関するルールや、セキュリティー情報をクレデンシャルとトークンの両方に保管する
場合のフォーマットを定義します。
- Lightweight Directory Access Protocol ユーザー・レジストリー
- WebSphere Application Server セキュリティーは、
ユーザーおよびグループの情報用リポジトリーとして機能する、
主要な LDAP ディレクトリー・サーバーの実装を提供し、サポートします。
- EJB セキュリティーの認証プロトコル
- z/OS Secure Authentication Service (z/SAS)
および Common Secure Interoperability バージョン 2 (CSIv2) の、2 つの
認証プロトコルから選択できます。
- 許可テクノロジー
- 許可情報によって、ユーザーまたはグループが、リソースにアクセスするのに必要な特権を持っているか
どうかが判別されます。
- Java Authentication and Authorization Service (JAAS)
- Java Authentication and Authorization Service は、Java 2 Security 許可を、
コード・ベースおよびユーザーだけでなく、
プリンシパルに対するコード・ベースまで拡張できるようにサポートする標準 Java API です。
- Secure Sockets Layer
- Secure Sockets Layer (SSL) プロトコルにより、
WebSphere Application Server におけるクライアントとサーバー間のセキュア接続のための、
認証性、保全性、および機密性のあるトランスポート層セキュリティーが提供されます。
このプロトコルは、TCP/IP の上位かつ、HTTP、Lightweight Directory Access Protocol (LDAP)、Internet Inter-ORB Protocol (IIOP) などのアプリケーション・プロトコルの下位で実行され、
トランスポート・データに信頼性とプライバシーを提供します。
- EJB セキュリティーの認証プロトコル
- WebSphere Application Server バージョン 6.1 サーバーは、CSIv2 認証プロトコルのみをサポートします。
SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x とそれより前のバージョンの間の
サーバーに限られます。SAS または CSIv2、あるいはその両方を選択するオプションは、バージョン 6.0.x またはそれ以前の
リリースがバージョン 6.1 セルに統合されている場合の管理コンソールにおいてのみ使用可能です。
- ID マッピング
- ID マッピングは、2 つのサーバー間のユーザー ID の 1 対 1 のマッピングです。
これにより、ダウンストリーム・サーバーが適切な許可を決定できるようになります。
サーバーの統合が必要な場合、ID マッピングが必要となりますが、
ユーザー・レジストリーは、それぞれ異なり、システム間で共用されません。
- カスタム・パスワード暗号化のプラグ・ポイント
- カスタム・パスワード暗号化のプラグ・ポイントを作成して、
Base64 エンコードを使用して現在エンコードまたはデコードされている WebSphere Application
Server のすべてのパスワードを暗号化または暗号化解除することができます。
- JSSE および JCE プログラミング・インターフェースによるセキュア・トランスポート
- このトピックは、Java Secure Socket Extension (JSSE) および Java Cryptography Extension (JCE)
プログラミング・インターフェースを使用したトランスポート・セキュリティーに関する詳細な情報を提供します。
このトピック内には、IBM バージョンの Java Cryptography Extension Federal Information Processing
Standard (IBMJCEFIPS) についての説明があります。
- Web コンポーネント・セキュリティー
- Web モジュールを開発し、
それぞれの Web リソースのメソッド・レベルで、
セキュリティーを実行することができます。
- セキュリティー役割の参照
- 使用可能なプログラマチック・セキュリティー J2EE API である isUserInRole (String roleName) または isCallerInRole (String roleName) を使用する Web アプリケーション開発者または EJB プロバイダーは、
コード内で role-name を使用します。
- UDDI レジストリー・セキュリティーの追加考慮事項
- UDDI レジストリー・セキュリティーの構成に加えて、UDDI レジストリーの振る舞いに影響を与える可能性のある UDDI レジストリー設定は、ほかにもたくさんあります。
その設定の中には、セキュリティーに固有のものもあれば、
セキュリティーの構成時に注意すべき点もあります。
- J2EE コネクター・セキュリティー
- J2EE コネクター・アーキテクチャーは、
Java 2 Platform, Enterprise Edition (J2EE) を異機種のエンタープライズ情報システム (EIS) に接続するための標準のアーキテクチャーを定義します。
- 非同期メッセージング - セキュリティーの考慮事項
- このトピックでは、WebSphere Application Server による非同期メッセージングのセキュリティーを使用したい場合に留意すべき考慮事項について説明します。