WebSphere Application Server Network Deployment for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

LTPA (Lightweight Third Party Authentication)

Lightweight Third Party Authentication (LTPA) は、 分散環境と複数アプリケーション・サーバーおよびマシンの環境を対象としています。 LTPA は、転送可能なクレデンシャルおよびシングル・サインオン (SSO) をサポートしています。 LTPA は、分散環境のセキュリティーを暗号化によりサポートすることができます。 このサポートにより、LTPA は、 認証関連のデータを暗号化し、デジタル署名して安全に伝送し、 後で署名を暗号化解除して検査することができます。

複数のノード およびセルに分散されているアプリケーション・ サーバーは、LTPA プロトコルを使用することによって、 安全に通信を行うことができます。 また、シングル・サインオン (SSO) フィーチャーも提供されます。 シングル・サインオンでは、ユーザーはドメイン・ネーム・システム (DNS) ドメインで一度だけ認証を受けるだけで、 プロンプトが出されることもなく、 WebSphere Application Server の他のセルにあるリソースにアクセスすることができます。 DNS ドメインの各システムにあるレルム名は大/小文字が区別され、完全に一致している必要があります。

ローカル OS の場合、レルム名はホスト名と同じです。

Lightweight Directory Access Protocol (LDAP) の場合、 レルム名は LDAP サーバーの host:port 値です。

LTPA プロトコルは、暗号鍵を使用して、サーバー間で受け渡しされるユーザー・データを暗号化したり、暗号化を解除したりします。 これらの鍵は、1 つのセル内のリソースが別のセル内のリソースにアクセスする際に、 関連のあるセルがすべて同じ LDAP またはカスタム・レジストリーを使用していることを前提として、 それぞれ異なるセルの間で共用される必要があります。

LTPA を使用すると、 ユーザー情報と有効期限を含むトークンが作成され、その鍵によって署名されます。 LTPA トークンは時間に依存します。 保護ドメインに参加するすべての製品サーバーは、 それぞれの時刻、日付、および時間帯を同期させなければなりません。 同期させないと、LTPA トークンは期限前に失効し、認証または検証で障害が発生します。

このトークンは、 SSO が使用可能になっている場合は Web リソースの Cookies 経由で、 あるいは (エンタープライズ Bean の) 認証プロトコル・レイヤー経由で、 同一セル内または別のセル内の他のサーバーに渡されます。

受信サーバーが発信サーバーと同じ鍵を共用する場合は、 トークンを暗号化解除してユーザー情報を取得することができます。 次にこの情報を検証して、期限切れでないことと、 トークン内のユーザー情報がそのレジストリー内で有効であることを確認します。 検証が正常に終了したら、受信サーバー内のリソースに、許可検査後にアクセスすることができます。

サーバーは有効なクレデンシャルを持つ必要があります。クレデンシャルの有効期限が切れた場合、サーバーは認証のためにユーザー・レジストリーに通信する必要があります。 ユーザー・レジストリーの障害により、サーバー・プロセスがハングする場合があり、その場合、 回復するには再始動が必要になります。LTPA トークンがキャッシュ化されたまま残る期間を延長することでこのリスクが減りますが、それでもセキュリティー・ポリシーを定義する際に考慮すべき、わずかに増えたセキュリティー・リスクを示します。

セル内の WebSphere Application Server プロセス (デプロイメント・ マネージャー、ノード、アプリケーション・サーバー) のすべてで、 同じ鍵セットが共用されます。 異なるセル間で鍵の共用が必要である場合は、 鍵を一方のセルからエクスポートして、他のセルにインポートします。 セキュリティーを目的とする場合、 エクスポートされた鍵は、ユーザー定義のパスワードで暗号化されます。 鍵を別のセルにインポートする場合は、これと同じパスワードが必要になります。

WebSphere Application Server は LTPA プロトコルをサポートしています。

プロファイル作成時にセキュリティーが使用可能になっている場合、LTPA はデフォルトで構成されています。

マシンに関係なくユーザーとグループを同じものにできるように、LTPA では、 構成済みのユーザー・レジストリーが LDAP または Windows ドメイン・タイプ・レジストリーのような集中共用リポジ トリーでなければなりません。

次の表は、認証メカニズム機能および LTPA で使用可能なユーザー・レジストリーを要約したものです。

  転送可能なクレデンシャル SSO ローカル OS ユーザー・レジストリー LDAP ユーザー・レジストリー。 カスタム・ユーザー・レジストリー
LTPA はい はい はい はい はい

ローカル OS ユーザー・レジストリーでの LTPA の使用は、 すべてのサーバーが同じシステムにある構成にのみ適用できます。




サブトピック
Lightweight Third Party Authentication 鍵セットおよび鍵セット・グループ
関連概念
トラスト・アソシエーション
シングル・サインオン
関連タスク
Lightweight Third Party Authentication メカニズムの構成
関連資料
認証メカニズムおよび有効期限
スタンドアロン LDAP レジストリー設定
拡張 LDAP ユーザー・レジストリー設定
ダウンストリーム・サーバーに対する ID アサーション
セキュリティー: 学習用リソース
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 8:28:52 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.iseries.doc/info/iseriesnd/ae/csec_ltpa.html