WebSphere Application Server, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

認証メカニズム

認証メカニズム は、クレデンシャルが別の Java プロセスに転送可能かどうかなどのセキュリティー情報に関するルールや、 セキュリティー情報がクレデンシャルとトークンの両方に保管される場合のフォーマットを定義します。

認証 は、クライアントが特定のコンテキストにおいて、 主張する本人または物であるかという、本人性を確立するプロセスです。 クライアントは、エンド・ユーザー、マシン、アプリケーションのいずれかです。 一般的に WebSphere Application Server の認証メカニズムは、 ユーザー・レジストリー と密接にコラボレーションします。 ユーザー・レジストリーはユーザーおよびグループのアカウントのリポジトリーで、 認証の実行時に認証メカニズムによって使用されます。 認証メカニズムは、 正常に認証されたクライアント・ユーザーの内部製品表記である信任状 の作成を担当します。 すべての信任状が同等に作成されるわけではありません。 信任状の能力は、構成される認証メカニズムで決まります。

WebSphere Application Server は、 2 つの認証メカニズム、 Third Party Authentication (LTPA) および Simple WebSphere Authentication Mechanism (SWAM) を提供します。 デフォルトの認証メカニズムである LTPA を構成するには、管理コンソールで「セキュリティー」>「管理 、アプリケーション、インフラストラクチャーの保護 」>「 認証メカニズムおよび有効期限」とクリックします。 SWAM は バージョン 6.1 では推奨されません。 SWAM は、異なるサーバー間では認証済み通信を提供しません。 LTPA の代わりに SWAM を使用するには、 「認証メカニズムおよび有効期限」パネルで「SWAM の使用 - サーバー間の認証済み通信なし」オプションを選択します。 ただし、「SWAM の使用 - サーバー間の認証済み通信なし」オプションを選択すると、 「認証メカニズムおよび有効期限」パネルの他の情報は無視されます。

認証プロセス

この図は、認証プロセスを示しています。 認証が必要なのは、エンタープライズ Bean クライアントと Web クライアントが保護リソースにアクセスする場合です。 サーブレットまたはその他のエンタープライズ Bean または純粋なクライアントなどの エンタープライズ Bean クライアントは、 以下のプロトコルの 1 つを使用して、Web アプリケーション・サーバーに認証情報を送信します。

[この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。]
  • Common Secure Interoperability Version 2 (CSIv2)
  • Secure Authentication Service (SAS)
    注: SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。

前の図に示すように、Web クライアントは、HTTP または HTTPS プロトコルを使用して認証情報を送信します。

認証情報は、基本認証 (ユーザー ID およびパスワード)、 証明書トークン (Lightweight Third Party Authentication (LTPA) の場合)、 またはクライアント証明書です。 Web 認証は、Web 認証モジュールによって行われます。

管理コンソールを使用して、Web クライアント用の Web 認証を構成できます。 「セキュリティー」>「Secure administration and applications」をクリックします。「認証」の下で「Web security」を展開して、「一般設定」をクリックします。Web 認証用のオプションは、以下のとおりです。
Authenticate only when the URI is protected
保護された Uniform Resource Identifier (URI) にアクセスする場合に限り、 Web クライアントが認証 ID を取り出すことができることを指定します。 Web クライアントが J2EE 役割で保護された URI にアクセスする場合に、 WebSphere Application Server は、Web クライアントに認証データの提供を要求します。 このデフォルト・オプションは、前のバージョンの WebSphere Application Server でも使用可能です。
Use available authentication data when an unprotected URI is accessed
Web クライアントが getRemoteUserisUserInRole、 および getUserPrincipal メソッドを呼び出して、 保護または無保護 URI から認証済み ID を取り出すことを許可されることを指定します。 認証データは、無保護 URI にアクセスする場合には使用されませんが、 その認証データは将来使用するために保存されます。 このオプションは、「Authentication only when the URI is protected」チェック・ボックスを選択した場合に使用可能です。
Authenticate when any URI is accessed
Web クライアントは URI が保護されているかどうかに関係なく、 認証データを提供する必要があることを指定します。
HTTPS クライアントの証明書認証が失敗したときに基本認証をデフォルトとして使用する。
必要な HTTPS クライアント証明書の認証に失敗したときに、 WebSphere Application Server が Web クライアントにユーザー ID とパスワードを要求することを指定します。

エンタープライズ Bean 認証は、 Enterprise JavaBean (EJB) 認証モジュールによって実行されます。

[この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] EJB 認証モジュールは CSIv2 レイヤーおよび SAS レイヤー内にあります。

認証モジュールは、Java Authentication and Authorization Service (JAAS) ログイン・モジュールを使用してインプリメントされます。 Web オーセンティケーターおよび EJB オーセンティケーターは、ログイン・モジュール (2) に認証データを渡し、これによりデータを認証するために 以下のメカニズムを使用することができます。

  • LTPA
  • Simple WebSphere Authentication Mechanism (SWAM)
    注: SWAM は WebSphere Application Server バージョン 6.1 では推奨されません。 将来のリリースでは除去される予定です。 LTPA はデフォルトの認証メカニズムです。
認証モジュールは、 システムで構成されたレジストリーを使用して認証を実行します (4)。 以下の 4 つのタイプのレジストリーがサポートされています。
  • 統合リポジトリー
  • ローカル・オペレーティング・システム
  • スタンドアロン Lightweight Directory Access Protocol (LDAP) レジストリー
  • スタンドアロン・ カスタム・ レジストリー

ローカル・オペレーティング・システムまたは LDAP レジストリーのどちらかのレジストリーの代わりに、 IBM が指定するレジストリー・インターフェースに従う外部レジストリーの実装を使用することができます。

ログイン・モジュールは、認証後に JAAS サブジェクトを作成し、 このサブジェクトの公開クレデンシャル・リストに、認証データから派生したクレデンシャルを保管します。 クレデンシャルは、Web オーセンティケーターまたはエンタープライズ Bean オーセンティケーターに戻されます (5)。

Web オーセンティケーターおよびエンタープライズ Bean オーセンティケーターは、受け取ったクレデンシャルを、 現在許可サービスが詳細なアクセス制御検査の実行に使用しているオブジェクト・リクエスト・ブローカー (ORB) に保管します。 クレデンシャルが転送できる場合は、 他のアプリケーション・サーバーに送信されます。




サブトピック
ポートレット URL のセキュリティー
LTPA (Lightweight Third Party Authentication)
トラスト・アソシエーション
シングル・サインオン
セキュリティー属性の伝搬
SWAM (Simple WebSphere Authentication Mechanism)
UserRegistry インターフェース・メソッド
関連資料
Web 認証設定
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 5:05:53 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/csec_aumech.html