Tivoli Access Manager は、WebSphere Application Server で Java Authorization Contract for Container (JACC) モデルを使用し、アクセス検査を行います。
JACC のサポートに使用される Tivoli Access Manager ランタイム変更
ランタイム変更のため、Tivoli Access Manager には、JACC に必要な PolicyConfigurationFactory および PolicyConfiguration インターフェースがインプリメントされています。 アプリケーションのインストール時に、 デプロイメント記述子のセキュリティー・ポリシー情報およびバインディング・ファイル内の許可テーブル情報が、 これらのインターフェースを使用して Tivoli プロバイダーに伝搬されます。 Tivoli プロバイダーは、それぞれの Tivoli Access Manager アプリケーション・プログラミング・インターフェース (API) を呼び出すことにより、 ポリシーおよび許可テーブルの情報を Tivoli Access Manager ポリシー・サーバーに保管します。
また、Tivoli Access Manager には、RoleConfigurationFactory および RoleConfiguration インターフェースがインプリメントされています。 これらのインターフェースを使用することにより、許可テーブル情報が、ポリシー情報と共にプロバイダーに確実に受け渡されます。 これらのインターフェースについての詳細は、JACC をサポートするインターフェース を参照してください。
Tivoli Access Manager クライアント構成
Tivoli Access Manager クライアントを構成するには、管理コンソール または wsadmin スクリプトのいずれかを使用することができます。Tivoli Access Manager クライアント構成用の管理コンソール・パネルは、 「セキュリティー」 >「グローバル・セキュリティー」とクリックすることにより、アクセスできます。「許可」の下の「許可プロバイダー」をクリックします。「関連項目」の下の「外部 JACC プロバイダー」をクリックします。Tivoli クライアントは、 Tivoli Access Manager JACC プロバイダーを使用するようセットアップする必要があります。
Tivoli Access Manager クライアントを構成する方法について詳しくは、Tivoli Access Manager JACC プロバイダー構成 を参照してください。
許可テーブル・サポート
Tivoli Access Manager は RoleConfiguration インターフェースを使用して、アプリケーションがインストールされるか、またはデプロイされたときに、許可テーブル情報を Tivoli Access Manager プロバイダーに受け渡します。 アプリケーションがデプロイされるか編集される場合、ユーザーまたはグループと役割の間のマッピングのための、ユーザーおよびグループのセットが、Tivoli Access Manager サーバーから取得されます。そこでは、同一の Lightweight Directory Access Protocol (LDAP) サーバーが WebSphere Application Server と共用されています。 この共用は、アプリケーション管理のユーザーまたはグループと役割の間の管理コンソール・パネルへのプラグインにより、実現されています。 WebSphere Application Server に構成された LDAP レジストリーに依存するのではなく、管理 API がユーザーおよびグループを取得するために呼ばれます。
ユーザーまたはグループから役割へのマッピングは、 アプリケーション・レベルであり、ノード・レベルではありません。
アクセス・チェック
WebSphere Application Server が Tivoli Access Manager に対して JACC プロバイダーを使用するよう構成されている場合は、アクセスの決定が行えるよう、Tivoli Access Manager に情報が受け渡されます。 Tivoli Access Manager ポリシーのインプリメンテーションでは、アクセスの決定のため、アクセス・コントロール・リスト (ACL) データベースのローカル・レプリカを照会します。
PDLoginModule モジュールを使用した認証
WebSphere Application Server のカスタム・ログイン・モジュールで、認証を行うことができます。 このログイン・モジュールは、WebSphere Application Server が提供するログイン・モジュールの前にプラグインされます。 カスタム・ログイン・モジュールは、サブジェクトに保管される情報を提供できます。 必要な情報が保管された場合は、その情報を取得するための余計なレジストリー呼び出しは行われません。
また、JACC 統合の一部として、Tivoli Access Manager が提供する PDLoginModule モジュールは、WebSphere Application Server へのプラグインのために使用され、Lightweight Third Party Authentication (LTPA) および Simple WebSphere Authentication Mechanism (SWAM) 認証のために使用されます。 PDLoginModule モジュールは、ユーザー ID またはパスワードで認証するよう変更されます。 このモジュールは、サブジェクト内の必要な属性を入力するためにも使用され、WebSphere Application Server のログイン・モジュールによりレジストリー呼び出しが行われないようにします。 サブジェクト内にある情報は、アクセス検査に使用できるよう、Tivoli Access Manager ポリシー・オブジェクトで使用可能です。