WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

ユーザー・レジストリー

WebSphere Application Server の ユーザー・レジストリーは、 ユーザーの認証を行い、ユーザーおよびグループに関する情報を取得して、 セキュリティー関連の機能 (認証および許可など) を実行します。 ユーザーおよびグループに関する情報は、 ユーザー・レジストリーに入れられます。 WebSphere Application Server は、 ユーザー・レジストリーを使用して、 アクセス制御に関する決定を行います。

WebSphere Application Server では、ユーザー・レジストリーは以下の目的で使用されます。
  • 基本認証、ID アサーション、またはクライアント証明書を使用した、ユーザーの認証。
  • ユーザーおよびグループについての情報を検索し、ユーザーおよびグループのセキュリティー役割へのマッピングなど、セキュリティーに関連する管理機能を実行する
ユーザーおよびグループ、さらにセキュリティー役割マッピングの情報は、アクセス制御の決定のため、構成済み許可エンジンにより使用されます。

WebSphere Application Server は、 複数タイプのオペレーティング・システム・ベースのユーザー・レジストリーをサポートするいくつかのインプリメンテーションを提供しています。 カスタム Lightweight Directory Access Protocol (LDAP) フィーチャーを使用すると、正しい構成をセットアップすることによって、 任意の LDAP サーバーをサポートできます。 ただし、これらのカスタム LDAP サーバーはサポートの対象にはなりません。多種の構成が考えられるためです。

LDAP レジストリーをアクティブ・レジストリーとして構成する場合は、以下のいずれかの許可メカニズムを構成できます。
  • EJBROLE または GEJBROLE プロファイルを使用した System Authorization Facility (SAF) 許可。 SAF は他のすべての許可メカニズムに優先します。
  • Java Contract for Containers (JACC) プロバイダーとしての Tivoli Access Manager。 詳しくは、JACC プロバイダーとしての Tivoli Access Manager の統合 を参照してください。
  • アプリケーション・アセンブラーまたは WebSphere Application Server セキュリティー管理者により作成される、ユーザーと役割のバインディング。
すべてのユーザー・レジストリーに対する許可メカニズムとして、 SAF 許可 (SAF EJBROLE プロファイルを使用した SAF ユーザーおよびグループへの役割の割り当て) を使用できます。SAF 許可が管理コンソールで選択された場合は、以下のようになります。

ローカル OS がユーザー・レジストリーとして選択されている場合以外は、ユーザー・レジストリー ID から SAF ユーザー ID へのマッピングを提供する必要があります。 詳しくは、カスタム System Authorization Facility マッピング・モジュール を参照してください。

上記の許可メカニズムの選択項目は、すべてのユーザー・レジストリーで有効です。ただし、LDAP のみをサポートする Tivoli Access Manager は例外です。

WebSphere Application Server には、 ローカル・オペレーティング・システム (ローカル OS) レジストリーおよび LDAP レジストリーの他に、 カスタム・レジストリー・フィーチャー (カスタム・ユーザー・レジストリー とも呼ばれます) を使用して、任意のユーザー・レジストリーをサポートするプラグインもあります。カスタム・レジストリー・フィーチャーでは、WebSphere Application Server でインプリメントされていないユーザー・レジストリーもサポートしています。 UserRegistry インターフェースをインプリメントすると、 製品の環境で使用される任意のユーザー・レジストリーを使用できます。

また、ユーザーおよびグループの現在の情報が、データベースなどの他の何らかのフォーマットで存在していて、 ローカル OS または LDAP に移動できない場合にも UserRegistry インターフェースは非常に役に立ちます。そのような場合には、 あらゆるセキュリティー関連のオペレーションに対して WebSphere Application Server が既存のレジストリーを使用できるように UserRegistry インターフェースをインプリメントしてください。 カスタム・レジストリーのビルドは、ソフトウェア・インプリメンテーションの作業です。 このインプリメンテーションは、運用に際して他の WebSphere Application Server リソース (例えばデータソース) には依存しません。

WebSphere Application Server はさまざまなタイプのユーザー・レジストリーをサポートしていますが、 アクティブにできるユーザー・レジストリーは 1 つだけです。 このアクティブ・レジストリーは、この製品のすべてのサーバー・プロセスで共用されます。




サブトピック
カスタム・ユーザー・レジストリー
関連概念
JACC プロバイダーとしての Tivoli Access Manager の統合
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/csec_registries.html