このトピックでは、WebSphere Application Server による非同期メッセージングのセキュリティーを使用したい場合に留意すべき考慮事項について説明します。
メッセージングの
セキュリティーは、WebSphere Application Server 管理セキュリティーが
使用可能になっている場合に限り、使用することができます。
この場合は、次のようにします。
- JMS プロバイダーへの JMS 接続が認証されます。
- JMS プロバイダーが所有する JMS リソースへのアクセスが、
アクセス許可によって制御されます。
- JMS プロバイダーへの新規接続の作成要求を行うには、
認証のためのユーザー ID とパスワードが必要になります。
- ユーザー ID とパスワードは、アプリケーションで指定する必要はありません。
認証が成功すると JMS 接続が作成され、
認証が失敗すると接続要求は終了します。
標準 J2C 認証は、JMS プロバイダーへの新規接続作成要求に使用されます。
リソース認証 (res-auth) が「アプリケーション」に設定されている場合は、「
Component-managed Authentication Alias」で別名を設定します。
JMS プロバイダーへの接続を作成しようとするアプリケーションは、
ユーザー ID とパスワードを指定しますが、
これらの値は、作成要求を認証するために使用されます。
アプリケーションがユーザー ID とパスワードを指定しない場合は、「
Component-managed Authentication Alias」によって定義された値が使用されます。
「Component-managed Authentication Alias」を使用して接続ファクトリーが構成されていない場合に、
JMS プロバイダーに接続しようとすると、ランタイム JMS 例外を受け取ります。
制約事項:
- 12 文字より長いユーザー ID は、
バージョン 5 のデフォルトのメッセージング・プロバイダー
または WebSphere MQ による認証には使用できません。
例えば、Windows NT のデフォルトのユーザー ID Administrator は、
13 文字なので無効となり、使用できません。
したがって、WebSphere JMS プロバイダーまたは WebSphere MQ 接続ファクトリー用の認証別名では、
12 文字以下のユーザー ID を指定する必要があります。
- WebSphere MQ への JMS 接続でバインディング・トランスポート・モードを使用したい場合は、
WebSphere MQ キュー接続ファクトリーにプロパティー Transport type=BINDINGS を設定してください。さらに、次のオプションのいずれか 1 つを選択する必要があります。
- セキュリティー・クレデンシャルを使用する場合、WebSphere Application Server プロセスの
現在のログオン・ユーザーをユーザーとして指定する必要があります。指定されたユーザーが WebSphere Application Server プロセスの現在のログオン・ユーザーでない場合、WebSphere MQ JMS バインディング認証は「MQJMS2013 MQQueueManager で提供されたセキュリティー認証は無効」エラーをスローします。
- セキュリティー・クレデンシャルは指定しないでください。WebSphere MQ 接続ファクトリーで、
「コンポーネント管理認証エイリアス」プロパティーと「コンテナー管理認証エイリアス」プロパティーがいずれも設定されていないことを確認してください。
デフォルトのメッセージング・プロバイダーによって格納されたメッセージにアクセスする許可は、メッセージが格納されたサービス統合バス宛先にアクセスする許可によって制御されます。個々のバス宛先に対するアクセス権の許可について詳しくは、宛先役割の管理を参照してください。