WebSphere Application Server for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

組み込み Tivoli Access Manager による役割ベースのセキュリティー

Java 2 Platform、Enterprise Edition (J2EE) 役割ベースの許可モデルでは、役割およびリソースの概念が使用されています。 ここに例を提供します。

  メソッド
役割 getBalance deposit closeAccount
テラー 認可 認可  
レジ係り 認可    
スーパーバイザー     認可

上記の表で概念が説明されているバンキング・アプリケーションの例では 、次の 3 つの役割が定義されています。 テラー、レジ係り、スーパーバイザーです。getBalance、deposit および closeAccount のアプリケーション・メソッドを実行する 許可は、これらの役割にマップされています。 その例から、スーパーバイザーの役割に割り当てられたユーザーが closeAccount メソッドを実行できるのに対し、 他の 2 つの役割ではこのメソッドを実行できないことがわかります。

プリンシパルという用語は、WebSphere Application Sever セキュリティー内では、アクティビティーを実行する人またはプロセスを意味します。 グループ は、WebSphere Application Server 内に構成されているプリンシパルの論理コレクションであり、 これによりセキュリティーが簡単に適用できるようになります。 役割はプリンシパルまたはグループ、あるいはその両方にマップすることができます。次の表において呼び出されているエントリーは、 プリンシパルまたはグループが、その役割に認可されたメソッドを呼び出すことができることを示しています。

  役割
プリンシパル/グループ テラー レジ係り スーパーバイザー
TellerGroup 呼び出す    
CashierGroup   呼び出す  
SupervisorGroup      
Frank: 上記のグループのメンバーではないプリンシパル   呼び出す 呼び出す
上記の例では、プリンシパルのフランクは getBalance および closeAccount メソッドを呼び出すことができますが、deposit メソッドを呼び出すことはできません。このメソッドが、 レジ係りまたはスーパーバイザーのいずれの役割にも許可されていないためです。

アプリケーションのデプロイメント時に、Tivoli Access Manager の Java Authorization Contract for Container (JACC) プロバイダーは、そのアプリケーションのデプロイメント記述子に含まれるセキュリティー・ポリシー情報とともに、Tivoli Access Manager で保護されたオブジェクト・スペースを取り込みます。 このセキュリティー情報を使用して、WebSphere Application Server リソースが要求されているときにアクセスを決定します。

デフォルトでは、Tivoli Access Manager のアクセス検査は、役割名、セル名、アプリケーション名、およびモジュール名を使用して実行されます。

Tivoli Access Manager アクセス・コントロール・リスト (ACL) は、どのアプリケーション役割がプリンシパルに割り当てられているかを判別します。 ACL は、アプリケーションのデプロイメント時に、Tivoli Access Manager で保護されたオブジェクト・スペース内のアプリケーションに付加されます。

プリンシパルから役割へのマッピングは、WebSphere Application Server 管理コンソールから管理され、Tivoli Access Manager を使用して変更されることはありません。 ACL への直接更新は、管理セキュリティー・ユーザーに対してのみ実行されます。

以下の一連のイベントが起こります。
  1. アプリケーションのデプロイメント中に、 ポリシー情報が Tivoli Access Manager の JACC プロバイダーに送信されます。 このポリシー情報には、許可から役割へのマッピング、役割からプリンシパルへのマッピング、および役割からグループへのマッピングの各情報が含まれています。
  2. Tivoli Access Manager の JACC プロバイダーは、その情報を必要なフォーマットに変換し、 変換された情報を Tivoli Access Manager ポリシー・サーバーに渡します。
  3. ポリシー・サーバーは、エントリーを Tivoli Access Manager で保護されたオブジェクト・スペースに追加し、アプリケーション、および許可から役割へのマッピングに対して定義された役割を表します。 許可は Tivoli Access Manager で保護されたオブジェクトとして表され、 そのオブジェクトに認可された役割は拡張属性として付加されます。



関連概念
許可プロバイダー
関連タスク
Tivoli Access Manager を使用したセキュリティー・ユーザーおよび役割の管理
Tivoli Access Manager グループの構成
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 5:46:14 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.iseries.doc/info/iseries/ae/csec_role_based_sec.html