WebSphere Application Server は、組み込み IBM Tivoli Access Manager クライアント・テクノロジーを提供し、WebSphere Application Server 管理対象リソースを保護します。
WebSphere Application Server は Java Authorization Contract for Containers (JACC) 仕様をサポートします。JACC には J2EE コンテナーおよび許可プロバイダーの契約要件が詳述されています。 この契約では、許可プロバイダーは、 WebSphere Application Server などの J2EE バージョン 1.4 アプリケーション・サーバーのリソースに対するアクセス決定を、 実行することができます。 WebSphere Application Server に組み込まれている Tivoli Access Manager セキュリティー・ユーティリティーは、 JACC に準拠し、以下のために使用されます。
アプリケーションがデプロイされると、組み込み Tivoli Access Manger クライアントは、アプリケーション・デプロイメント記述子に保管されているポリシーやユーザーおよび役割情報を取り出し、Tivoli Access Manager ポリシー・サーバーに保管します。
Tivoli Access Manager JACC プロバイダーはまた、ユーザーが、WebSphere Application Server によって管理されるリソースへのアクセスを要求すると呼び出されます。
組み込み Tivoli Access Manager クライアント・アーキテクチャー
このガイドでは、Tivoli Access Manager セキュア・ドメインの計画、インストール、および構成方法を説明します。 一連の簡単なインストール・スクリプトを使用することで、完全に機能するセキュア・ドメインを素早くデプロイできます。 これらのスクリプトは、セキュア・ドメインのデプロイメントをプロトタイピングする際に非常に便利です。
IBM Tivoli Access Manager for e-business information center にあるこのガイドにアクセスするには、「Access Manager for e-business」>「Base Information」>「Base Installation Guide」をクリックします。
この資料は、 保護リソースを管理する Tivoli Access Manager セキュリティー・モデルの概要を示します。 このガイドでは、アクセス・コントロール決定を行う Tivoli Access Manager サーバーの構成方法を説明します。さらに、 詳細な説明で、セキュリティー・ポリシーの宣言、保護オブジェクト・スペースの定義、およびユーザーと グループ・プロファイルの管理などの重要なタスクの実行方法を説明します。
IBM Tivoli Access Manager for e-business information center にあるこのガイドにアクセスするには、「Access Manager for e-business」>「Base Information」>「Base Administration Guide」をクリックします。
Tivoli Access Manager は複数サーバーの集中管理を提供します。
上図は、Tivoli Access Manager によって保護される複数の WebSphere Application Server を示したアーキテクチャーの例です。
参加している WebSphere Application Server は、Tivoli Access Manager ポリシー・データベースのローカル・レプリカを使用し、入力される要求に対する許可の決定を行います。 ローカルのポリシー・データベースは、 マスター・ポリシー・データベースのレプリカです。 マスター・ポリシー・データベースは、 Tivoli Access Manager のシステムの一部としてインストールされています。 参加している WebSphere Application Server ノードのそれぞれでポリシー・データベースのレプリカを持つことにより、 許可の決定を行う場合のパフォーマンスが最適化され、さらに、フェイルオーバーの機能が提供されます。
WebSphere Application Server と同じシステム上に許可サーバーをインストールすることもできますが、 この構成はダイアグラムには示されていません。
このアーキテクチャーの例における、Tivoli Access Manager および WebSphere Application Server のすべてのインスタンスは、 マシン E 上の Lightweight Directory Access Protocol (LDAP) ユーザー・レジストリーを共有しています。
WebSphere Application Server でサポートされる LDAP レジストリーは、Tivoli Access Manager でもサポートされます。
異なる Tivoli Access Manager サーバーについて構成された同一のホストに、別々の WebSphere Application Server プロファイルを置くことも可能です。 そのようなアーキテクチャーでは、複数のプロファイ ルを別々の Java Runtime Environments (JRE) について構成する必要があるため、複数の JRE を同一のホストにイ ンストールする必要があります。