WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

セキュリティー

以下の情報は、WebSphere Application Server のセキュリティーに関する概要となります。

IBM WebSphere Application Server は、重要な Java 2 Platform Enterprise Edition (J2EE) リソースおよび管理リソースを保護するためのセキュリティーのインフラストラクチャーおよびメカニズムを提供します。 また、以下のような、企業のエンドツーエンド・セキュリティー要件に対応しています。 IBM WebSphere Application Server のセキュリティーは業界標準に基づき、オープン・アーキテクチャーを採用しており、以下を含むエンタープライズ情報システム (EIS) とのセキュアな接続およびインターオペラビリティーを確保します。 WebSphere Application Server では、以下のセキュリティー・プロバイダーもサポートされています。

業界標準ベース

IBM WebSphere Application Server では、 Web リソース、Web サービス・エンドポイント、および J2EE 仕様に準拠する Enterprise JavaBeans を保護するため、ポリシー・ベースおよび許可ベースの統合モデルを提供しています。 具体的には、WebSphere Application Server は J2EE 仕様の バージョン 1.4 に準拠し、J2EE Compatibility Test Suite に合格しています。

WebSphere Application Server のセキュリティーは、OS プラットフォーム、Java 仮想マシン (JVM)、および Java 2 セキュリティーの上に構築される階層化アーキテクチャーです。このセキュリティー・モデルは、以下を含む豊富なセキュリティー・テクノロジーを駆使します。
  • Java 2 セキュリティー・モデル。システム・リソースに対し、ポリシーおよび許可をベースにした、きめの細かいアクセス制御を提供します。
  • Common Secure Interoperability Version 2 (CSIv2) セキュリティー・プロトコル。Secure Authentication Services (SAS) セキュリティー・プロトコルもサポートされています。 どちらのプロトコルも、以前の WebSphere Application Server のリリースでサポートされています。 CSIv2 は J2EE 1.4 仕様の必須要素であり、さまざまなベンダーのアプリケーション・サーバー間のインターオペラビリティー、 およびエンタープライズ CORBA サービスとのインターオペラビリティーには不可欠です。
  • Java アプリケーション、サーブレット、およびエンタープライズ Bean 用の Java Authentication and Authorization Service (JAAS) プログラミング・モデル。
  • Enterprise Information Systems へのアクセスをサポートするリソース・アダプターに接続するため の J2EE コネクター・アーキテクチャー。

セキュア・ソケット通信、メッセージの暗号化、およびデータ暗号化をサポートする標準のセキュリティー・ モデルおよびインターフェースは、Java Secure Socket Extension (JSSE) および Java Cryptographic Extension (JCE) です。

オープン・アーキテクチャー・パラダイム

アプリケーション・サーバーは、複数層のエンタープライズ・コンピューティング・フレームワークの中核をなす部分です。 IBM WebSphere Application Server は、オープン・アーキテクチャー・パラダイムを採用し、エンタープライズ・ソフトウェア・コンポーネントと統合するプラグイン・ポイントを多数提供します。 プラグイン・ポイントは、J2EE の標準仕様が適用できるところでは必ず、この仕様を基にしています。

紺色の影が付いた背景は、 WebSphere Application Server バージョン 6 と他のビジネス・アプリケーション・コンポーネントとの境界を示します。

注: IBM の将来のリリースでは、Integrated Cryptographic Services Facility (ICSF) 認証メカニズムは非推奨になる傾向にあります。 LTPA にマイグレーションすることをお勧めします。 LTPA について詳しくは、 LTPA (Lightweight Third Party Authentication) を参照してください。

WebSphere Application Server for z/OS の統合

SAF で z/OS プラットフォームを使用すると、以下のタスクが単純化されます。
  • データの保護および分離
  • ネットワーク・アクセス
  • 既存のエンタープライズ・サブシステムへのアクセス
WebSphere Application Server for z/OS の場合:
  • z/OS セキュリティーのこれらの必須機能を取り込みます
  • Web ベース・アプリケーションの z/OS 上のデプロイを可能にします

主要な概念

WebSphere Application Server for z/OS バージョン 6 では、セキュリティー・サービスはセル・レベルで構成されます。 構成可能サービス には、Web 認証メカニズム、ユーザー・レジストリー、およびアクセス制御マネージャーが含まれています。 特に指定しないかぎり、アクセス制御機能が WebSphere バインディングにより提供されます。

WebSphere Application Server for z/OS セキュリティーには、 習熟すべき基本的な概念がいくつかあります。これらの概念を以下に示します (ただし、これですべてではありません)。

WebSphere Application Server for z/OS 固有のセキュリティー: WebSphere Application Server for z/OS では、z/OS 以外のプラットフォームでは 追加オプション・フィーチャーにより提供されるものと同一の機能が提供されます。 WebSphere Application Server for z/OS では、セキュリティー・サービスはセル・レベルで構成されます。構成可能サービスには、Web 認証メカニズム、 ユーザー・レジストリー、および許可機能が含まれています。許可機能は、WebSphere バインディングにより提供されます。

他のプラットフォームとは異なり、WebSphere Application Server for z/OS では、z/OS のデフォルトの機密保護機能により、 保護リソースおよびファイルに対して許可を要求するセキュリティー機能 (拡張) が提供されます。 WebSphere Application Server for z/OS バージョン 6 は、 他の WebSphere Application Server プラットフォームと同様に構成できる一方で、LDAP としてアクティブ WebSphere Application Server ユーザー・レジストリーまたはカスタム・レジストリーの構成をサポートします。 また、『System Authorization Facility セキュリティー』で示すように、RACF および SAF サービスを活用することもできます。 詳しくは、この項目の『WebSphere Application Server 構成情報』を参照してください。

z/OS 環境で WebSphere Application Server for z/OS セキュリティーをインストール、構成、またはカスタマイズする場合、アクティビティーの多くは自動化され、WebSphere Application Server for z/OS カスタマイズ・ダイアログを使って実行できます。 WebSphere Application Server で該当する z/OS 機能の使用を許可する必要があり、 これには、システム・レベルのセキュリティーを実行するために使用するプロファイル (RACF STARTED クラスまたは RACF 開始手順テーブルを使用する) が含まれます。
注: また、z/OS の場合、 WebSphere Application Server で、RACF などの SAF 準拠セキュリティー・サーバーを使用するように構成し、 Application Server の許可を制御できます。
RACF を使用する WebSphere Application Server for z/OS のデフォルト・セットアップは、 セキュリティーのインストールおよびセットアップを支援するために REXX 実行可能プログラムにより提供されます。その実行可能プログラムは、以下のとおりです。
  • BBOSBRAC
  • BBOCBRAC
  • BBODBRAC
これらの REXX 実行可能プログラムは、以下を実行します。
  • WebSphere Application Server for z/OS ランタイムおよび LDAP の ユーザー、グループ、プロファイル、および許可の定義に必要な RACF コマンドを生成して実行します。
  • RACF 鍵リングに格納されたデジタル証明書を定義します。
これらの実行可能プログラムは、 以下の RACF クラスに影響を及ぼします。
  • FACILITY
  • LOGSTRM
  • SERVER
  • STARTED
  • CBIND
  • SURROGAT
  • APPL

RACF プロファイルおよび RACF クラスの詳細については、 「z/OS Security Server RACF System Adminstrator's Guide」を参照してください。

System Authorization Facility (SAF) セキュリティー: WebSphere Application Server for z/OS では、 オプションで、選択したプラットフォーム・セキュリティーとの 相互作用および統合が可能です。 WebSphere Application Server for z/OS Version 5.x またはバージョン 6 では、 以下のような利点があります。
  1. SAF EJBROLES プロファイルを使用した WebSphere Application Server for z/OS 許可。詳しくは、役割ベースの許可の System Authorization Facility を参照してください。
  2. SAF ベースの ID 管理。Java ベースのコネクターを Customer Information Control System (CICS) や Information Management System (IMS)、Database 2 (DB2)、または MQSeries といった他の EIS システムに発行する場合の ID として J2EE クライアント ID を使用することを含みます。 詳しくは、J2EE ID を System Authorization Facility (SAF) にマッピングするためのプラグ可能ログイン・モジュールの使用可能化 を参照してください。
  3. SAF ID 管理。アプリケーションで、WebSphere Application Server for z/OS アプリケーションを実行し、 オペレーティング・システム (OS) ID を J2EE ID に一致するように設定できるようにします。これはアプリケーションの Synch to OS Thread と呼ばれるものです。詳しくは、Application Synch to OS Thread Allowed を参照してください。
  4. SAF 監査。変更およびアクセスの試行をトラッキングする許可検査により生成される監査レコード (Systems Management Facility (SMF) に保管される) を使用します。 詳しくは、以下を参照してください。

識別管理: SAF セキュリティー機能を活用するには、 ユーザーは z/OS ベースのユーザー ID を使用して自信を識別する必要があります。J2EE ID をプラットフォーム・ベースのユーザー ID (この場合、RACF ユーザー ID) にマップするためのプリンシパル・マッピング・モジュールを使用することができます。SAF EJBROLE チェックを実行するために、LDAP ユーザー ID から RACF ユーザー ID にプリンシパル・マッピングを作成する必要があります。 つまり、LDAP レジストリー内の構成ユーザーから z/OS ユーザー ID を派生させるために、 マッピング・ログイン・モジュールが使用可能である必要があります。(SMF 監査 (SAF を使用した) を使用して、これらの変更をトラッキングすることができます。)

詳しくは、カスタム System Authorization Facility マッピング・モジュール およびWebSphere Application Server 用のカスタム System Authorization Facility マッピング・モジュールのインストールおよび構成 を参照してください。

J2EE ID を 既存の WebSphere Application Server for z/OS セキュリティー・インフラストラクチャーに関連付ける場合、 OS の実行スレッドを同期し、J2EE を z/OS ID にマップすることができます。
注: ローカル OS ユーザー・レジストリーを選択するか、スレッド ID として現在の ID を使用したい場合は、どの z/OS ユーザー ID を実行スレッドに置くかを選択するために、マッピング・モジュールを使用することができます。
この J2EE と z/OS 間のマッピングは、 WebSphere Application Server for z/OS を使用する場合のセキュリティー管理を容易にするために必須です。 保護された環境内で WebSphere Application Server のリソースにアクセスするために、 WebSphere Application Server for z/OS のユーザーは、 WebSphere Application Server によって認証されるプリンシパルを使用して識別されます。WebSphere Application Server は、ユーザー ID を認証し、 Java Authentication and Authorization Service (JAAS) サブジェクトを使用してユーザーを表します。 この識別管理に関する一般情報については、以下を参照してください。

ユーザー・レジストリーおよびアクセス制御

ユーザー・レジストリーにはユーザーおよびグループに関する情報が入っています。 WebSphere Application Server のユーザー・レジストリーは、 ユーザーの認証を行い、 ユーザーおよびグループに関する情報を取得して、 セキュリティー関連の機能 (認証および許可など) を実行します。

WebSphere Application Server では、 以下のユーザー・レジストリー・インプリメンテーションが提供されます。
  • ローカル OS (SAF ベース)
  • LDAP

WebSphere Application Server は、ローカル OS レジストリーと LDAP レジストリーの他にも、 カスタム・レジストリー・フィーチャー (カスタム・ユーザー・レジストリーとも言います) を使用して任意のレジストリーをサポートするプラグインも提供しています。

WebSphere Application Server の ローカル OS レジストリー・インプリメンテーションが選択されている場合、WebSphere 環境で直接 Security Access Facility (SAF) を使用して、Resource Access Control Facility (RACF) などの z/OS Security Server 機能を統合できます。アクティブ LDAP またはカスタム・ユーザー・レジストリーを構成する場合、 適切なシステム・ログイン構成にカスタムまたは IBM 提供のプラグ可能マッピング・モジュール (次に、WebSphere Application Server for z/OS 提供のモジュール) を構成することにより、 これらの z/OS Security Server 機能を活用することもできます。

ローカル OS 以外のレジストリーを選択し、マッピングが行われない場合 (または特定の ID に対して有効なマッピングが使用できない場合)、これらの機能は使用できません。

LDAP UserRegistry はマッピング機能をサポートしています。

詳しくは、ユーザー・レジストリー を参照してください。

WebSphere Application Server 構成: WebSphere Application Server for z/OS バージョン 6 では、 既存の z/OS 以外のアプリケーションを System Authorization Facility (SAF) および RACF などの z/OS 固有の機能と統合することができきます。これにより、WebSphere Application Server for z/OS と z/OS 以外のプラットフォームのレジストリーを統合できます。以下に例を示します。

アプリケーション・サーバー構成 レジストリー・タイプ 許可方式 利点
WebSphere Application Server LDAP WebSphere バインディングおよび Tivoli Access Manager などの外部セキュリティー・プロバイダー 共用レジストリー (異機種のプラットフォームに渡る)
WebSphere Application Server for z/OS RACF WebSphere バインディングおよび RACF EJBROLE 集中アクセスおよび監査機能 (バージョン 4.0 を実行しているサーバーを含むことができる)
WebSphere Application Server 混合環境 LDAP またはカスタム WebSphere バインディング、外部セキュリティー・プロバイダー、 および RACF EJBROLE 共用レジストリー、一元アクセス、および監査機能
上記の表の説明をここに図示します。
  • WebSphere Application Server ネットワーク・レジストリー構成
  • WebSphere Application Server for z/OS ネットワーク・レジストリー構成:
  • z/OS セキュリティー拡張を使用した WebSphere Application Server ネットワーク・レジストリー

認証メカニズム

WebSphere Application Server for z/OS では、以下の 2 つの認証メカニズムがサポートされています。
  • Simple WebSphere Authentication Mechanism (SWAM)
    SWAM は簡単に構成できるため、 単一のアプリケーション・サーバー環境で役立ちます。 ただし、SWAM では、要求ごとにユーザー ID とパスワードの認証を行う必要があります。
    注: SWAM は WebSphere Application Server のバージョン 6.1 では 推奨されません。また将来のリリースでは除去される予定です。
  • Lightweight Third Party Authentication (LTPA)

    Lightweight Third Party Authentication では、認証済みユーザーのセキュリティー・トークンが生成されます。 このトークンを使用することより、以降の呼び出しで、シングル・サインオン (SSO) ドメイン内の同じサーバーまたは 他のサーバーに対して、そのユーザーが認証済みであることを示すことができます。ネットワーク分散サーバーと 相互運用する必要がある場合は、LTPA を使用する必要があります。

IIOP 認証プロトコル

IIOP 認証プロトコルは、Java クライアントから WebSphere Application Server for z/OS への要求、または J2EE アプリケーション・サーバー間の要求を認証するためのメカニズムです。 WebSphere Application Server for z/OS バージョン 5.x またはバージョン 6 では、2 つのセットの 認証プロトコルがサポートされています。 z/OS Secure Association Service (z/SAS) は、 以前のすべての WebSphere Application Server のリリースで使用されている認証プロトコル (ユーザー ID およびパスチケット、Secure Sockets Layer (SSL) 基本認証、Kerberos など) のセットです。Common Secure Interoperability Version 2 (CSIv2) は 、WebSphere Application Server for z/OS バージョン 5.x またはバージョン 6 でインプリメントされており、 戦略的プロトコルであると見なされています。

WebSphere Application Server for z/OS Connector セキュリティー

WebSphere Application Server は、J2EE コネクター・アーキテクチャーをサポートし、コンテナー管理認証を提供します。 WebSphere Application Server は、デフォルトの J2C のプリンシパルおよび信任状マッピング・モジュールを提供します。 このモジュールは、任意の認証済みユーザーの信任状を、指定した EIS (Enterprise Information System) セキュリティー・ドメイン のパスワード信任状にマップします。EIS システムが、WebSphere Application Server と同一のセキュリティー・ドメインにある場合、z/OS 仕様のコネクターもサポートされています。 この場合、J2EE 要求に対して使用する認証済み信任状を EIS の信任状として使用できるため、パスワードは必要ではありません。

後方互換性

このバージョンは、5.x リリースとの後方互換性を維持していますが、 新規セキュリティー機能を追加しており、新規業界標準になりつつあります。バージョン 5.x 開発環境で作成されたアプリケーションは、バージョン 6 でデプロイできます。Java 2 セキュリティーをバージョン 6 で実行する場合は、バージョン 4.0.x のアプリケーションには特別に注意を払う必要があります。 これは、バージョン 4 アプリケーションは、Java 2 セキュリティーに対応していない場合があるためです。 バックレベル・バージョンからバージョン 6 に移植するためのステップについては、セキュリティー・マイグレーションのセクションを参照してください。

Web サービス・セキュリティー

WebSphere Application Server では、 Organization for the Advancement of Structured Information Standards (OASIS) Web サービス・セキュリティー・バージョン 1.0 仕様に基づいて Web サービスを保護することができます。このような標準は、Web サービス環境で交換されるメッセージの保護方法を 規定します。この仕様は、メッセージの保全性と機密性を保護するための中核機構を定義し、セキュリティー関連の要求と メッセージを関連付けるためのメカニズムを提供します。

トラスト・アソシエーション

トラスト・アソシエーションにより、IBM WebSphere Application Server セキュリティーと サード・パーティー製セキュリティー・サーバーとを統合することができます。もっと具体的に述べると、リバース・プロキシー・サーバーがフロントエンド認証サーバーとして機能できるようになる一方で、WebSphere Application Server は、製品自体の認証ポリシーを、プロキシー・サーバーによって渡される信任状に適用します。 リバース・プロキシー・サーバーは、WebSphere Application Server にディスパッチされるすべての Web 要求に その認証ポリシーを適用します。トラスト・アソシエーション・インターセプター (TAI) をインプリメントする製品には、以下のものがあります。
  • IBM Tivoli Access Manager for e-business
  • WebSEAL
  • Caching Proxy
トラスト・アソシエーションの使用方法の詳細については、トラスト・アソシエーション を参照してください。

セキュリティー属性の伝搬

セキュリティー属性の伝搬により、WebSphere Application Server は、 セキュリティー属性を構成内のサーバー間でトランスポートできます。セキュリティー属性には、 認証済みサブジェクト・コンテンツおよびセキュリティー・コンテキスト情報が含まれます。WebSphere Application Server は、 これらのセキュリティー属性を以下のいずれかから取得できます。
  • 静的属性を照会するエンタープライズ・ユーザー・レジストリー
  • 静的または動的属性を照会できる、カスタム・ログイン・モジュール
セキュリティー属性の伝搬は、Java シリアライゼーションを使用して、 サブジェクト内に格納されているすべてのオブジェクトに伝搬サービスを提供します。セキュリティー属性の伝搬の使用方法の詳細については、セキュリティー属性の伝搬 を参照してください。

セキュリティー属性の伝搬によって、WebSphere Application Server、WebSphere Application Server Network Deployment、または WebSphere Application Server Express LDAP ユーザー・レジストリーから WebSphere Application Server for z/OS SAF ユーザー・レジストリーへの通信が可能になります。

シングル・サインオン・インターオペラビリティー・モード

WebSphere Application Server では、 インターオペラビリティー・モード・オプションにより、WebSphere Application Server バージョン 5.1.1 以降の シングル・サインオン (SSO) 接続が、前のバージョンのアプリケーション・サーバーと相互運用できるようになります。このオプションを選択した場合、WebSphere Application Server は応答に旧スタイルの LtpaToken を追加するため、 このトークン・タイプでのみ機能する他のサーバーに応答を送信することができます。 このオプションは、Web インバウンド・セキュリティー属性の伝搬オプションが使用可能になっている場合にのみ適用されます。シングル・サインオンの詳細については、Web ユーザー認証を最小化するためのシングル・サインオンのインプリメント を参照してください。

WebSphere Application Server for z/OS バージョン 6 でのリソースの保護

セキュリティーの観点から、 アプリケーション・サーバー・プロセスにはそれぞれ、Web コンテナー、EJB コンテナー、および管理サブシステムが含まれています。 サーバー・プロセスを構成するコンポーネントは、ここで述べるもの以外にもたくさんあります。管理サブシステムへの リモート・インターフェース (Java Management Extensions (JMX) コネクターを経由する管理サービス・インターフェース、 ユーザー・レジストリー・インターフェース、ネーミング・インターフェースなど) は、拡張セキュリティー役割をベースにした アクセス制御によって保護されています。システム・コードは、 管理サブシステム、Web コンテナー、EJB コンテナー・コードを含めて、すべて WebSphere Application Server のセキュリティー・ドメイン内で実行 されています。以下の図の WebSphere Application Server セキュリティー・ドメイン・ボックスに示されているように、システム・コードは AllPermission の権限を付与されており、すべてのシステム・リソースにアクセスできます。 アプリケーションのセキュリティー ・ドメイン内で実行されているアプリケーション・コードは、デフォルトで J2EE 仕様に従ったアクセス権を付与されており、一定のシステム・ リソースにしかアクセスできません。WebSphere Application Server バージョン 6 のランタイム・クラスは、WebSphere Application Server のクラス・ローダーに保護されているため、 アプリケーション・コードからは不可視になっています。

J2EE リソースのためのセキュリティーは、Web コンテナーおよび EJB コンテナーから提供されます。 それぞれのコンテナーは、2 種類のセキュリティー (宣言セキュリティープログラマチック・セキュリティー) に対応しています。

宣言セキュリティーでは、アプリケーションのセキュリティー構造 (データの保全性と機密性、認証要件、セキュリティーの役割、アクセス制御など) が、そのアプリケーション外部の形式で表されます。 デプロイメント記述子は、J2EE プラットフォームにおける宣言セキュリティーの主要な手段です。WebSphere Application Server バージョン 6 は、デプロイメント記述子から引き出され、デプロイ担当者と管理者が 1 組の XML ディスクリプター・ファイルで 指定した情報を含む J2EE セキュリティー・ポリシーを維持します。コンテナーは、実行時には XML ディスクリプター・ファイルで定義されたセキュリティー・ポリシーを使用して、データ制約とアクセス制御を実行します。

宣言セキュリティー単独ではアプリケーションのセキュリティー・モデルを表現するのに十分でない場合には、 プログラマチック・セキュリティーがアプリケーション・コードによって使用され、アクセス判断を行うことがあります。 プログラマチック・セキュリティーの API は、EJB EJBContext インターフェースの 2 つのメソッド (isCallerInRolegetCallerPrincipal) およびサーブレット HttpServletrequest インターフェースの 3 つのメソッド (isUserInRolegetUserPrincipalgetRemoteUser) で構成されています。

Java 2 セキュリティー

WebSphere Application Server は、Java 2 セキュリティー・モデルをサポートしています。黄色ボックス内のシステム・コードは、 管理サブシステム、Web コンテナー、EJB コンテナー・コードを含めて、すべて WebSphere Application Server の セキュリティー・ドメイン内で実行されており、現在のインプリメンテーションでは、AllPermission の権限を付与され、 すべてのシステム・リソースにアクセスできます。アプリケーションのセキュリティー・ドメイン内で 実行されているアプリケーション・コードは、デフォルトで J2EE 仕様に従ってアクセス権を付与されており、 制限されたシステム・リソース・セットにしかアクセスできません。WebSphere Application Server のランタイム・クラスは、WebSphere Application Server のクラス・ローダーに保護されているため、 アプリケーション・コードからは不可視になっています。

Java 2 Platform, Enterprise Edition コネクター・セキュリティー

WebSphere Application Server は、J2EE コネクター・アーキテクチャーをサポートし、コンテナー管理認証を提供します。 WebSphere Application Server は、デフォルトの J2C のプリンシパルおよび信任状マッピング・モジュールを提供します。 このモジュールは、任意の認証済みユーザーの信任状を、指定した EIS (Enterprise Information System) セキュリティー・ドメイン のパスワード信任状にマップします。

EIS システムが、WebSphere Application Server と同一のセキュリティー・ドメインにある場合、z/OS 仕様のコネクターもサポートされています。 この場合、J2EE 要求に対して使用する認証済み信任状を EIS の信任状として使用できるため、パスワードは必要ではありません。

詳しくは、接続スレッド ID を参照してください。

アプリケーション・サーバー・プロセスはすべて、デフォルトでは、セル・レベルのセキュリティー XML 文書で定義される共通の セキュリティー構成を共有することになっています。セキュリティー構成では、WebSphere Application Server のセキュリティーを実行 するかどうか、Java 2 セキュリティーを実行するかどうかを決定し、認証メカニズムとユーザー・レジストリー構成、 セキュリティー・プロトコル構成、JAAS ログイン構成、および Secure Sockets Layer 構成について決定します。 アプリケーションには、それぞれ固有のセキュリティー要件がある場合があります。 アプリケーション・サーバー・プロセスはそれぞれ、独自のセキュリティー要件に対応するように、サーバー別のセキュリティー 構成を作成することができます。 セキュリティー構成がすべて、アプリケーション・サーバー・レベルで変更できるわけではありません。 アプリケーション・サーバー・レベルで変更できるセキュリティー構成には、 アプリケーション・セキュリティーを実行すべきかどうか、Java 2 セキュリティーを実行すべきかどうかということと、 セキュリティー・プロトコル構成が含まれます。

一般情報詳細については、スレッド ID サポートによるセキュリティー状態を参照してください。

管理サブシステム・セキュリティー構成は、常にセル・レベルのセキュリティー文書で決定されます。 Web コンテナーと EJB コンテナーのセキュリティー構成は、サーバー・レベルのセキュリティー文書ごとのオプションによって決定され、 セル・レベルのセキュリティー文書よりも優先されます。

セキュリティー構成は、 セル・レベルでもアプリケーション・サーバー・レベルでも、Web ベースの管理コンソール・アプリケーションか、該当するスクリプト・アプリケーションのいずれかで管理されます。

注: サーバー・レベルでユーザー・レジストリーおよび認証メカニズムを変更することはできません。

Web セキュリティー

Web リソースに対してセキュリティー・ポリシーを指定して IBM WebSphere Application Server セキュリティーを実行すると、Web コンテナーは、Web クライアントがそのリソースを要求したときに アクセス制御を実行します。 Web コンテナーはそのクライアントの認証データで、指定した認証メソッドに適合するクライアントがないかを調べ、データ制約が満たされていることを確認して、 認証済みユーザーに必要なセキュリティー役割があるかどうかを判断します。WebSphere Application Server は、 以下のログイン・メソッドをサポートします。
  • HTTP 基本認証
  • HTTPS クライアント認証
  • フォーム・ベースのログイン
クライアント証明書の WebSphere Application Server セキュリティー信任状へのマッピングでは、UserRegistry インプリメンテーションを使用して マッピングを実行します。

セキュリティー Cookie および基本認証情報がインターセプトされたり再実行されたりするのを防ぐために、 Secure Sockets Layer (SSL) の使用をお勧めします。トラスト・アソシエーションが構成されていると、WebSphere Application Server は、認証済みユーザーの ID を、 セキュア・リバース・プロキシー・サーバーとの間で確立した信頼関係に基づく、セキュリティー信任状にマップすることができます。

Web セキュリティー・コラボレーターと EJB セキュリティー・コラボレーターの場合は次のようになります。
  1. Web セキュリティー・コラボレーターは、アクセス・マネージャー・インプリメンテーションを使用して、役割ベースのアクセス制御を実行します。 アクセス・マネージャーは、デプロイメント記述子から派生したセキュリティー・ポリシーに基づいて許可を決定します。 認証済みのユーザー・プリンシパルは、必要なセキュリティー役割のいずれかを持っている場合に、 要求したサーブレットまたは JSP ファイルへアクセスできます。サーブレットおよび JSP ファイルは、 HttpServletRequest メソッド (isUserInRolegetUserPrincipal、 および getRemoteUser) を使用できます。例えば、管理コンソールは、isUserInRole メソッドを 使用して、ユーザー・プリンシパルに公開する適切な管理機能セット決定します。
  2. EJB セキュリティー・コラボレーターは、アクセス・マネージャー・インプリメンテーションを使用して、 役割ベースのアクセス制御を実行します。 アクセス・マネージャーは、デプロイメント記述子から派生したセキュリティー・ポリシーに基づいて許可を決定します。 認証済みのユーザー・プリンシパルは、必要なセキュリティー役割のいずれかを持っている場合に、要求した EJB メソッドへアクセスできます。 EJB コードは、EJBContext メソッドの isCallerInRole および getCallerPrincipal を使用できます。 EJB コードは、JAAS ログインを実行する JAAS プログラミング・モデル、WSSubject doAs および doAsPrivileged メソッドも使用できます。doAs および doAsPrivileged PrivilegedAction ブロック内のコードは、サブジェクト ID を使用して実行されます。 そうでない場合、EJB メソッドは RunAs 構成に応じて、指定した RunAs ID または呼び出し元の ID のいずれかを使用して実行されます。

EJB セキュリティー

セキュリティーが使用可能になっていると、EJB コンテナーは EJB メソッドを起動してアクセス制御を実行します。 認証は、メソッド許可が特定の EJB メソッド用に定義されているかどうかに関係なく 行われます。

アクセス・マネージャーは、デプロイメント記述子から派生したセキュリティー・ポリシーに基づいて許可を決定します。 認証済みのユーザー・プリンシパルは、必要なセキュリティー役割のいずれかを持っている場合に、要求した EJB メソッドへアクセスできます。 EJB コードは、EJBContext メソッドの isCallerInRole および getCallerPrincipal を使用できます。 EJB コードでは、JAAS ログインを実行する JAAS プログラミング・モデル、WSSubject doAs および doAsPrivileged メソッド も使用できます。 doAs および doAsPrivileged PrivilegedAction ブロック内のコードは、サブジェクト ID を使用して実行 されます。 そうでない場合、EJB メソッドは RunAs 構成に応じて、指定した RunAs ID または呼び出し元の ID のいずれかを使用して実行されます。 J2EE RunAs 仕様は Enterprise Bean レベルです。 RunAs ID を指定すると、これがすべての Bean メソッドに適用されます。 IBM RunAs 拡張がバージョン 4.0 で 導入したメソッド・レベルは、引き続き本バージョンでもサポートされています。

注: 許可された後は、RunAs ID がダウンストリームで使用されます。 これは通常、呼び出し元 ID ですが、代行 ID の場合もあります。

連邦情報処理標準 (FIPS) による承認

連邦情報処理標準 (FIPS) は、米国連邦情報・技術局 (NIST) が、連邦コンピューター・システムのために発行した標準およびガイドラインです。 FIPS は、セキュリティーおよびインターオペラビリティーなど、標準に関する連邦政府の切実な要求がある一方で、 実施可能な業界標準または解決方法が存在しない場合のために開発されました。

WebSphere Application Server には、Java Secure Socket Extension (JSSE) および Java Cryptography Extension (JCE) を含む暗号モジュールが組み込まれています。この暗号モジュールは、FIPS 140-2 認証が行われています。 資料および WebSphere Application Server では、FIPS 認証を受けた IBM JSSE モジュールおよび JCE モジュールは、それぞれ IBMJSSEFIPS および IBMJCEFIPS と呼ばれています。 これは、FIPS モジュールと、IBM JSSE および IBM JCE モジュールとを区別するためです。

IBMJCEFIPS モジュールは、以下の対称暗号スイートをサポートしています。
  • AES (FIPS 197)
  • TripleDES (FIPS 46-3)
  • SHA1 メッセージ・ダイジェスト・アルゴリズム (FIPS 180-1)
IBMJCEFIPS モジュールは、以下のアルゴリズムをサポートしています。
  • デジタル・シグニチャー DSA および RSA アルゴリズム (FIPS 186-2)
  • ANSI X 9.31 (FIPS 186-2)
  • IBM Random Number Generator

IBMJCEFIPS 暗号モジュールは、FIPS が承認したアルゴリズムを含んでいます。このアルゴリズムは、IBM JCE モジュール内のアルゴリズムの適正なサブセットを形成しています。




関連概念
認証メカニズム
EJB セキュリティーの認証プロトコル
Common Secure Interoperability Version 2 のフィーチャー
代行
サーバーおよび管理セキュリティー
Java Authentication and Authorization Service (JAAS)
J2EE コネクター・セキュリティー
Lightweight Directory Access Protocol ユーザー・レジストリー
ローカル・オペレーティング・システムのユーザー・レジストリー
LTPA (Lightweight Third Party Authentication)
ユーザー・レジストリー
役割ベースの許可
トラスト・アソシエーション
関連タスク
JAX-RPC を使用したメッセージ・レベルでの Web サービス・アプリケーションの保護
WS-Security を基にしたバージョン 5.x アプリケーションの Web サービスの保護
関連情報
Cryptographic Module Validation Program FIPS 140-1 and FIPS 140-2 Pre-validation List
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/welc_security.html