WebSphere Application Server - Express, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

グローバル・サインオン・プリンシパル・マッピングの構成

Tivoli Access Manager GSO データベースを使用するアプリケーション・ログインを新規作成して、ログイン・クレデンシャルを保管できます。

プロシージャー

  1. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。
  2. 「認証」の下で「Java Authentication and Authorization Service」>「アプリケーション・ログイン」とクリックします。
  3. 新規」をクリックして、Java Authentication and Authorization Service (JAAS) ログイン構成を新規作成します。
  4. 新規アプリケーション・ログインの別名を入力します。「適用」をクリックします。
  5. 「追加プロパティー」の下で、「JAAS ログイン・モジュール」をクリックして、 JAAS ログイン・モジュールを定義します。
  6. 新規」をクリックして、以下の情報を入力します。

    モジュール・クラス名: com.tivoli.pdwas.gso.AMPrincipalMapper
    ログイン・モジュール・プロキシーの使用: enable
    認証ストラテジー: REQUIRED

  7. 適用」をクリックします。
  8. 「追加プロパティー」セクションで、「カスタム・プロパティー」をクリックして、 基礎となるログイン・モジュールに直接渡されるログイン・モジュール固有の値を定義します。
  9. 新規」をクリックします。

    Tivoli Access Manager プリンシパル・マッピング・モジュールは、authDataAlias 構成ストリングを使用して、 正しいユーザー名およびパスワードをセキュリティー構成から検索します。

    モジュールに渡される authDataAlias 属性は、J2C 接続ファクトリー用に構成されています。 authDataAlias 属性は、構成時に入力される任意のストリングであるため、以下のシナリオが考えられます。
    • authDataAlias 属性には、グローバル・サインオン (GSO) リソース名およびユーザー名の両方が含まれています。 このストリングの形式は「Resource/User」です。
    • authDataAlias 属性に、GSO リソース名のみが含まれています。 このユーザー名は、現行セッションの Subject を使用して決定されます。
    使用するシナリオは、以下のように JAAS 構成オプションによって決定されます。
    • 名前: com.tivoli.pd.as.gso.AliasContainsUserName
    • : 別名にユーザー名が含まれる場合は true、ユーザー名をセキュリティー・コンテキストから検索する必要がある場合は false。
    WebSphere Application Server 管理コンソールを介して authDataAlias 属性を入力する場合、 別名の先頭にノード名が自動的に付加されます。 JAAS 構成エントリーは、以下のように、このノード名を除去するか、リソース名の一部として組み込むかどうかを決定します。
    • 名前: com.tivoli.pd.as.gso.AliasContainsNodeName
    • : 別名にノード名が含まれている場合は true。
    注: PdPerm.properties 構成ファイルがデフォルトのロケーションである JAVA_HOME/PdPerm.properties にない場合は、次のプロパティーを追加する必要もあります。
    • 名前: com.tivoli.pd.as.gso.AMCfgURL
    • : file:///path to PdPerm.properties
    以下のシナリオ情報をガイドとして使用して各新規パラメーターを入力し、 「適用」をクリックします。

    シナリオ 1
    認証データ別名 - BackendEIS/eisUser
    リソース - BackEndEIS
    ユーザー - eisUser
    プリンシパル・マッピング・パラメーター

    名前
    代行 com.tivoli.pdwas.gso.AMPrincipalMapper
    com.tivoli.pd.as.gso.AliasContainsUserName true
    com.tivoli.pd.as.gso.AliasContainsNodeName false
    com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path
    debug false

    シナリオ 2
    認証データ別名 - BackendEIS
    リソース - BackEndEIS
    ユーザー - 現行の認証済み WebSphere Application Server ユーザー
    プリンシパル・マッピング・パラメーター

    名前
    代行 com.tivoli.pdwas.gso.AMPrincipalMapper
    com.tivoli.pd.as.gso.AliasContainsUserName false
    com.tivoli.pd.as.gso.AliasContainsNodeName false
    com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path
    debug false

    シナリオ 3
    認証データ別名 - nodename/BackendEIS/eisUser
    リソース - BackEndEIS
    ユーザー - eisUser
    プリンシパル・マッピング・パラメーター

    名前
    代行 com.tivoli.pdwas.gso.AMPrincipalMapper
    com.tivoli.pd.as.gso.AliasContainsUserName true
    com.tivoli.pd.as.gso.AliasContainsNodeName true
    com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path
    debug false

    シナリオ 4
    認証データ別名 - nodename/BackendEIS/eisUser
    リソース - nodename/BackEndEIS (ノード名が除去されていないことに注意してください)
    ユーザー - eisUser
    プリンシパル・マッピング・パラメーター

    名前
    代行 com.tivoli.pdwas.gso.AMPrincipalMapper
    com.tivoli.pd.as.gso.AliasContainsUserName true
    com.tivoli.pd.as.gso.AliasContainsNodeName false
    com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path
    debug false

    シナリオ 5
    認証データ別名 - BackendEIS/eisUser
    リソース - BackEndEIS
    ユーザー - eisUser
    プリンシパル・マッピング・パラメーター

    名前
    代行 com.tivoli.pdwas.gso.AMPrincipalMapper
    com.tivoli.pd.as.gso.AliasContainsUserName false
    com.tivoli.pd.as.gso.AliasContainsNodeName true
    com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path
    debug false

    シナリオ 6
    認証データ別名 - nodename/BackendEIS/eisUser
    リソース - nodename/BackendEIS/eisUser (リソースが認証データ別名と同じであることに注意してください)
    ユーザー - 現行の認証済み WebSphere Application Server ユーザー
    プリンシパル・マッピング・パラメーター

    名前
    代行 com.tivoli.pdwas.gso.AMPrincipalMapper
    com.tivoli.pd.as.gso.AliasContainsUserName false
    com.tivoli.pd.as.gso.AliasContainsNodeName false
    com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path
    debug false
  10. Java 2 Connector (J2C) 認証別名を作成します。ユーザー名およびパスワードの指定は Tivoli Access Manager が行うため、 これらの別名エントリーに割り当てられたユーザー名およびパスワードは不適切です。 ただし、管理コンソールの J2C 接続ファクトリー用に選択できるように、J2C 認証別名に割り当てられたユーザー名および パスワードを用意する必要があります。

    J2C 認証別名を作成するには、WebSphere Application Server 管理コンソールから、 「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」とクリックします。 「認証」の下で「Java Authentication and Authorization Service」>「 J2C 認証データ」とクリックし、次にそれぞれの新規エントリーごとに「新規」をクリックします。 シナリオ入力については、上記の表を参照してください。

    GSO データベースを使用する必要がある各リソース・アダプターの 接続ファクトリーは、Tivoli Access Manager プリンシパル・マッピング・モジュールを使用するように構成する必要があります。
    1. WebSphere Application Server 管理コンソールから、 「アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」> 「リソース参照」とクリックします。J2C 接続ファクトリーは、選択されたアプリケーションに対して構成済みでなければなりません。 新規 J2C 接続ファクトリーを構成するには、 管理コンソールにおける J2EE コネクター接続ファクトリーの構成 を参照してください。
    2. 「追加プロパティー」の下の「リソース・アダプター」をクリックします。

      リソース・アダプターはスタンドアロンとして使用できます。アプリケーションと一緒にパッケージ化する必要はありません。 リソース・アダプターは、スタンドアロン・シナリオの場合、「リソース」>「リソース・アダプター」から 構成されます。

    3. 「追加プロパティー」の下の「J2C 接続ファクトリー」をクリックします。
    4. 新規」をクリックして、接続ファクトリーのプロパティーを入力します。
    5. 終了したら、「適用」>「保管」をクリックします。
    重要:
    接続ファクトリーにおけるカスタム・マッピング構成は、 WebSphere Application Server バージョン 6 では推奨されていません。 GSO クレデンシャル・マッピングを構成するには、管理コンソールの「リソースへのリソース参照をマップ」パネルを使用することをお勧めします。 詳しくは、J2EE コネクター・セキュリティー を参照してください。



関連概念
グローバル・シングル・サインオン・プリンシパル・マッピング
関連タスク
Tivoli Access Manager または WebSEAL を使用したシングル・サインオン機能の構成
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 6:25:35 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.doc/info/exp/ae/tsec_config_gso_mapping.html