WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

認証メカニズム

認証メカニズム は、クレデンシャルが別の Java プロセスに転送可能かどうかなどのセキュリティー情報に関するルールや、 セキュリティー情報がクレデンシャルとトークンの両方に保管される場合のフォーマットを定義します。

認証 は、クライアントが特定のコンテキストにおいて、 主張する本人または物であるかという、本人性を確立するプロセスです。 クライアントは、エンド・ユーザー、マシン、アプリケーションのいずれかです。 一般的に WebSphere Application Server の認証メカニズムは、 ユーザー・レジストリー と密接にコラボレーションします。 ユーザー・レジストリーはユーザーおよびグループのアカウントのリポジトリーで、 認証の実行時に認証メカニズムによって使用されます。 認証メカニズムは、 正常に認証されたクライアント・ユーザーの内部製品表記である信任状 の作成を担当します。 すべての信任状が同等に作成されるわけではありません。 信任状の能力は、構成される認証メカニズムで決まります。

この製品では複数の認証メカニズムを提供していますが、 一度に構成できるアクティブな 認証メカニズムは 1 つだけです。 アクティブな認証メカニズムは、 WebSphere Application Server グローバル・セキュリティーの構成時に選択されます。

認証プロセス

この図は、認証プロセスを示しています。 認証が必要なのは、エンタープライズ Bean クライアントと Web クライアントが保護リソースにアクセスする場合です。 サーブレットまたはその他のエンタープライズ Bean または純粋なクライアントなどの エンタープライズ Bean クライアントは、 以下のプロトコルの 1 つを使用して、Web アプリケーション・サーバーに認証情報を送信します。
  • Common Secure Interoperability Version 2 (CSIv2)
  • z/OS Secure Authentication Service (z/SAS)
    注:

前の図に示すように、Web クライアントは、HTTP または HTTPS プロトコルを使用して認証情報を送信します。

認証情報は、基本認証 (ユーザー ID およびパスワード)、 証明書トークン (Lightweight Third Party Authentication (LTPA) の場合)、 またはクライアント証明書です。 Web 認証は、Web 認証モジュールによって行われます。

エンタープライズ Bean 認証は、 CSIv2 および z/SAS 層にある Enterprise JavaBean (EJB) 認証モジュールによって実行されます。

エンタープライズ Bean 認証は、 Enterprise JavaBean (EJB) 認証モジュールによって実行されます。

認証モジュールは、Java Authentication and Authorization Service (JAAS) ログイン・モジュールを使用してインプリメントされます。 Web オーセンティケーターおよび EJB オーセンティケーターは、ログイン・モジュール (2) に認証データを渡し、これによりデータを認証するために 以下のメカニズムを使用することができます。

  • LTPA
  • Simple WebSphere Authentication Mechanism (SWAM)

認証モジュールは、 システムで構成されたレジストリーを使用して認証を実行します (4)。 ローカル OS、Lightweight Directory Access Protocol (LDAP)、および カスタム・レジストリーという 3 つのタイプのレジストリーがサポートされています。 ローカル OS または LDAP ユーザー・レジストリーのどちらかのレジストリーの代わりに、 IBM が指定するレジストリー・インターフェースに従う外部レジストリーの実装を使用することができます。

ログイン・モジュールは、認証後に JAAS サブジェクトを作成し、 このサブジェクトの公開クレデンシャル・リストに、認証データから派生したクレデンシャルを保管します。 クレデンシャルは、Web オーセンティケーターまたはエンタープライズ Bean オーセンティケーターに戻されます (5)。

Web オーセンティケーターおよびエンタープライズ Bean オーセンティケーターは、受け取ったクレデンシャルを、許可サービスが詳細なアクセス制御検査を実行する際 に使用するために保管します。




サブトピック
LTPA (Lightweight Third Party Authentication)
トラスト・アソシエーション
シングル・サインオン
セキュリティー属性の伝搬
SWAM (Simple WebSphere Authentication Mechanism)
UserRegistry インターフェース・メソッド
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/csec_aumech.html