このバージョンには、 アプリケーションおよびアプリケーション・サービス提供環境の保護に責任をもつユーザー用の、 多くの新規および変更フィーチャーが含まれています
バージョン 6.1 での新機能 ! バージョン 6.1 レベルで実装された、 新規フィーチャーまたは変更点を示します。 マークが付いていない項目は、 バージョン 6.1 にも適用されるバージョン 6.0 の改善点です。 これらの項目は、バージョン 5.x から バージョン 6.1 にマイグレーションする、 すべてのユーザーに役立ちます。 |
非推奨のフィーチャーと除去されたフィーチャー では、 このリリースまたは将来のリリースで差し替えまたは廃止されるフィーチャーについて説明しています。
すぐに使用できる管理セキュリティー | バージョン 6.1 での新機能 ! 管理システムおよびそのデータへのアクセス がデフォルトで保護されるようになりました。 インストール中またはその後でプロファイルを作成するときに、 デフォルトを保持するかどうかを決めるプロンプトが出されます。デフォルトでは、ユーザー・レジストリーとしての ファイル・ベース・ユーザー・リポジトリーに対して管理セキュリティーが有効になります。ファイル・ベース・リポジトリー は仮想メンバー・マネージャーを使用して実装されます。このオプションについて詳しくは、 フェデレーテッド・リポジトリー構成におけるレルムの管理 を参照してください。 前のバージョンの製品からマイグレーションする場合、既存のセキュリティー構成が保持されるので心配ありません。 |
セキュリティー構成および管理の単純化 | バージョン 6.1 での新機能 !
|
自動生成サーバー ID | バージョン 6.1 での新機能 ! このバージョンは、 環境を管理する管理者のユーザー ID とサーバー間通信を認証するためのサーバー ID を区別します。ほとんどの場合、 サーバー ID は自動的に生成され、リポジトリーに保管されません。必要に応じて ID を変更できます。 混合セル環境を使用しない限り、セキュリティー構成中にサーバーのユーザー ID およびパスワードを 指定する必要はなくなりました。後方互換性を維持するには、サーバー・ユーザー ID を指定する必要があります。 ローカル・オペレーティング・システムの設定 を参照してください。 |
WebSphere® キーおよび証明書管理の単純化 | バージョン 6.1 での新機能 ! 単純化された WebSphere キーおよび証明書管理
が追加されました。
|
各種リポジトリーの統合により、1 つのリポジトリーとして管理できる | バージョン 6.1 での新機能 ! このリリースで仮想メンバー・マネージャー が組み込まれたため、組織エンティティーを管理する単一モデルが提供されるようになりました。 システムに組み込まれたファイル・ベース・リポジトリー、 1 つ以上の外部リポジトリー、またはファイル・ベース組み込みリポジトリーと 1 つ以上の外部リポジトリーの 両方において、複数の ID で構成されたレルムを構成できます。 現在、ほとんどの WebSphere Application Server アプリケーションは、組織エンティティーを管理するための独自のモデルおよびコンポーネントを持っているため、 さまざまなレベルのセキュリティーが存在します。ほとんどのアプリケーションは、リポジトリーの特定のタイプや製品 に依存しており、それらのリポジトリーにおいて特定のデータ・スキーマを前提にしているため、 既存データを持ったリポジトリーを使用することができません。仮想メンバー・マネージャーは、共通モデル、 各種製品およびタイプのリポジトリーへのセキュアなアクセス、および既存データを持ったリポジトリーを使用する機能 を提供することにより、これらのアプリケーションを援助します。 組織エンティティー・タイプとそのプロパティーのセット、 リポジトリーに依存しないアプリケーション・ プログラミング・インターフェース (API)、 およびリポジトリーにプラグインするための Service Provider Programming Interface (SPI) が、単一のモデルの中に含まれています。 API および SPI においては、検索言語として XPath が選択されます。 詳しくは、 統合リポジトリー を参照してください。 |
Windows デスクトップを介したシングル・サインオン認証に対する SPNEGO サポート | バージョン 6.1 での新機能 ! Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) プロトコルは、Mozilla FireFox や Microsoft Internet Explorer などの Web ブラウザーからの Kerberos トークンの流れを可能にします。これにより、SPNEGO をサポートする Web ブラウザーを持つ Windows デスクトップ上で、シームレスのシングル・サインオンを行うことができます。 WebSphere Application Server 環境の構成と SPNEGO TAI の使用可能化 を参照してください。 |
WS-Security における他のベンダーとのインターオペラビリティー | バージョン 6.1 での新機能 ! この製品は、これまでの実装によって発生した 最も一般的な問題に対処することでインターオペラビリティーを促進する、WS-I Basic Security Profile 1.0 をサポートする ようになりました。 Web Services-Interoperability Basic Profile を参照してください。 |
Common Criteria Assurance レベル 4 セキュリティー | この製品は機能拡張されて、2007 年に完全な認定が行われるようになった、Common Criteria Assurance レベル 4 セキュリティー機能を提供するようになりました。Common Criteria は、一連のセキュリティー要件に対する、IT 製品の独立した査定、分析、テストのための枠組みです。お客様は、 識別や認証、ユーザー・データ保護、監査、および暗号サポートなどのセキュリティー機能の提供において、 製品が有効であることの信頼性を証明によって得ることができます。お客様は、セキュリティー機能が正しく実装されており、 セキュリティー目的を達成するのに有効であるという安心を得ることができます。 詳しくは、Common Criteria (EAL4) のサポート を参照してください。 |
FIPS の完全な準拠 | この製品は機能拡張されて、Federal Information Processing Standards (FIPS) 140-2 政府規格の実装をサポートするようになりました。IBM Java Secure Sockets Extension (JSSE) FIPS 140-2 Cryptographic Module (マルチプラットフォーム用) は、機密データの保護を強化するために、 Java 2 アプリケーション・プログラミング・インターフェース (API) によって暗号スイートをサポートする、 スケーラブルで多目的の Secure Sockets プロバイダーです。これにより、この製品および他の IBM 製品は、 FIPS モードで稼動できるようになります。また、FIPS 証明済み暗号モジュールを使用するための エンドツーエンド要件を満たすのに役立ちます。 詳しくは、 連邦情報処理標準のサポート を参照してください。 |
JCA 1.5 サポート | WebSphere Application Server バージョン 6.0.x は、 インバウンド・リソース・アダプターなどの新フィーチャーを提供する J2EE コネクター・アーキテクチャー (JCA) バージョン 1.5 仕様 をサポートしています。詳しくは、リソース・アダプター を参照してください。 WebSphere Application Server バージョン 6.0.x ではセキュリティーの観点から、拡張されたカスタム・プリンシパル および信任状マッピング・プログラミング・インターフェース、およびカスタム・マッピング・プロパティーが、 リソース参照レベルで提供されています。WebSphere Application Server バージョン 5.x の JCA プリンシパル および信任状マッピング用に開発されたカスタム Java Authentication and Authorization Service (JAAS) ログイン・モジュールは、 引き続きサポートされています。 |
Web サービスのセキュリティー | プラグ可能アーキテクチャーにより、Web サービス・セキュリティーの拡張性が 高まります。この実装には、Organization for Advancement of Structured Information Standards (OASIS) Web サービス・セキュリティー・バージョン 1 標準に記載された多数のフィーチャーが含まれます。この標準の一部として、 WebSphere Application Server は、署名および暗号化に使用されるカスタムのプラグ可能トークン、 プラグ可能な署名および暗号化アルゴリズム、デジタル署名または暗号化に使用される鍵を検索するための プラグ可能な鍵ロケーター、SOAP メッセージの署名または暗号化エレメント、および署名または暗号化プロセスの 順序指定をサポートします。 Web サービスの保護のための新機能 を参照してください。 |
メッセージング・セキュリティー | サービス統合に関連したセキュリティー変更については、 インフォメーション・センターで キー・ワード cjr0420 を検索してください。 管理セキュリティーが有効の場合、 デフォルトの動作で、セキュア・バスはセキュア・トランスポート・プロトコルを使用します。 セキュア・バスに接続するには、ユーザーは、明示的にバス・コネクター・ロールが与えられている必要があります。 デフォルトのブートストラップ・エンドポイントは、BootstrapBasicMessaging でなく BootstrapSecureMessaging を 使用するように機能拡張されています。 |
Web 認証と許可の分離 | バージョン 6.1 での新機能 ! Web 許可があってもなくても、Web 認証 を実行できるようになりました。また、Web 許可が必要かどうかに関わらず、Web クライアントの認証済み ID を使用できる ようになりました。認証済み ID は、保護リソースおよび無保護リソースの両方で保持されます。Web 認証と Web 許可が分離されていないと、 Web 許可が必要ない場合、Web 認証済み ID を使用できません。 また、コンテナー宣言セキュリティーがないと、 プログラマチック・セキュリティーは独立して機能することができません。 |
Web 認証動作に対する制御の強化 | バージョン 6.1 での新機能 ! WebSphere Application Server は、Web クライアントに対する認証動作の制御を強化しました。選択するオプションによって、 WebSphere Application Server は、将来の利用のために認証データを保存できます。また、証明書認証を使用して、 認証が失敗した場合、Application Server が Web クライアントにユーザー ID およびパスワードを質問するように設定できます。 詳しくは、認証メカニズム を参照してください。 |
ポートレット URL セキュリティー | バージョン 6.1 での新機能 ! この製品では、サーブレットと同じように、 ポートレットの Uniform Resource Locators (URL) に直接アクセスできます。セキュリティーのために、 ポートレットはサーブレットと同じように扱われます。ほとんどのポートレット・セキュリティーは、 基盤となるサーブレット・セキュリティー・メカニズムを使用します。ただし、サーブレットと JavaServer Pages ファイルが web.xml ファイル内にあるのに対して、 ポートレット・セキュリティー情報は portlet.xml 内にあります。 また、ポートレットに対するアクセス決定を行う場合、 web.xml ファイル内にセキュリティー情報がある場合は、 それが portlet.xml ファイル内のセキュリティー情報と結合されます。ポートレット・セキュリティーは、プログラマチック・セキュリティー (isUserInRole) と 宣言セキュリティーの両方をサポートする必要があります。 詳しくは、ポートレット URL のセキュリティー を参照してください。 |
Java Authentication and Authorization Service プログラミング・モデルによる Web 認証 | WebSphere Application Server バージョン 6.0.x を使用すると、 Java Authentication and Authorization Service (JAAS) プログラミング・モデルを使用して、アプリケーション・コード内で Web 認証を実行できます。この機能を使用するには、WEB_INBOUND ログイン構成のクローンを作成して 独自の JAAS ログイン構成を作成し、cookie=true ログイン・オプションを定義する必要があります。 ログイン構成を使用してログインに成功すると、Web ログイン・セッションがシングル・サインオン (SSO) トークン Cookie によって 追跡されます。このオプションは、WebSphere Application Server バージョン 4 で非推奨となった SSOAuthenticator インターフェースに代わるものです。 詳しくは、Java Authentication and Authorization Service (JAAS) の許可 を参照してください。 |
非常に多様な管理の役割 | バージョン 6.1 での新機能 ! さらに多くの管理の役割が定義されており、 Web ベースの管理コンソールまたはシステム管理スクリプト・インターフェースのいずれかから、 特定の管理機能を実行するために必要なさまざまなレベルの権限が提供されています。最新の役割は、管理スクリプト (wsadmin) から使用可能なデプロイヤーおよび AdminSecurityManager です。 詳しくは、管理の役割 を参照してください。 |
管理役割許可の細分化 | バージョン 6.1 での新機能 ! 以前のリリースでは、 ユーザーに与えられた管理役割は、セルのすべてのリソース・インスタンスを管理できました。この製品はより細分化され、 アクセスをリソース・インスタンスごとに各ユーザーに与えることができるようになりました。 詳しくは、 詳細な管理セキュリティー を参照してください。 |
Web サービス・セキュリティーに対するハードウェア暗号装置サポート | バージョン 6.1 での新機能 ! Web サービス・セキュリティーは、 暗号ハードウェア装置の使用を 2 通りの異なる方法でサポートするようになりました。ハードウェア暗号装置を使用して、 暗号オペレーションを加速化できます。また、暗号鍵をハードウェア暗号装置上に保管し、決して装置から離れないようにできます。 Web サービス・セキュリティーに対するハードウェア暗号デバイスのサポート を参照してください。 |
RACF の大/小文字混合パスワードのサポート | バージョン 6.1 での新機能 ! WebSphere Application Server は、Resource Access Control Facility (RACF) の新規の大/小文字混合パスワード・オプション を活用します。WebSphere Application Server で大/小文字混合パスワードを使用するには、 z/OS バージョン 1.7 以上を使用し、ローカル・オペレーティング・システム・レジストリーを使用し、 SETROPTS PASSWORD(MIXEDCASE) コマンドを使用して大/小文字混合を有効にする必要があります。 そうしない場合、WebSphere Application Server では、 ローカル・レジストリー構成用の パスワードの文字を区別しません。 LDAP 構成を使用する場合は、大/小文字混合パスワードを利用できます。z/OS Version 1.7 における 大/小文字混合パスワード・フィーチャーについて詳しくは、「Z/OS V1R7.0 Security Server RACF Security Administrator's Guide」を参照してください。このガイドは、「Security Server and Integrated Security Services」で入手できます。このガイドのセクション 5.2.1 を参照してください。 |
SDBM (RACF) バックエンドによる z/OS LDAP | バージョン 6.1 での新機能 ! アプリケーション・サーバーは、既存の Remote Access Control Facility (RACF) バックエンドを使用して z/OS の Lightweight Access Directory Protocol (LDAP) を構成することでセキュアにすることができます。 |
Sync to OS Thread Control の機能強化 | Sync to OS Thread では、データベース接続などの J2EE コンテナー外部への 呼び出しのときに、認証済みユーザーの Java スレッド ID (または JAAS サブジェクト) と OS スレッド ID を同期化できます。 Sync to OS Thread を使用するには、 アプリケーションと WebSphere 構成の両方で、Sync to OS Thread を使用するよう指定する必要があります。 バージョン 6.1 での新機能 ! Sync to OS Thread が作動するには、使用する Sync to OS Thread をアプリケーションと構成が指定する以外に、 RACF 管理者がリソース・ルールを定義する必要もあります。Sync to OS Thread を許可または不許可にするために、 新規 FACILITY クラス・プロファイルを定義する必要があります。また、オプションの SURROGAT クラス・プロファイル を使用して、特定の認証済みユーザーに対する Sync to OS Thread の使用をさらに絞り込むこともできます。 Application Synch to OS Thread Allowed を参照してください。 |
トラステッド・アプリケーションの使用可能化 | バージョン 6.1 での新機能 ! トラスト・アプリケーションを 使用可能にするには、新規 FACILITY クラス・プロファイルを定義する必要があります。WebSphere Applications Server は、許可されたトラステッド・アプリケーションのみが使用可能になるように、初期化の際に この FACILITY クラス・プロファイルを検査します。この新規 FACILITY クラス・プロファイルは、 許可されたトラステッド・アプリケーションのみが使用可能になるように、RACF 管理者の役割を拡張します。 System Authorization Facility のクラスおよびプロファイル を参照してください。 |
カスタム・パスワード暗号化 | カスタム・パスワード暗号化のプラグ・ポイントを作成して、 Base64 エンコードを使用して現在エンコードまたはデコードされている WebSphere Application Server のすべてのパスワードを暗号化または暗号化解除する必要があります。このプラグ・ポイントの実装クラスには、 鍵の管理、使用する暗号化アルゴリズムの決定、および主機密の保護の責任があります。 詳しくは、http://www.ibm.com/support/docview.wss?rs=180&uid=swg21210244 の技術情報を参照してください。 |
LDAP サポートの強化 | 複数の Lightweight Directory Access Protocol (LDAP) ディレクトリー・サービスのバインディング およびフェイルオーバーのサポートに加えて、 最初にアプリケーション・サーバーを停止して再始動することなく、 動的に LDAP バインディング情報を更新できます。 詳しくは、http://www.ibm.com/support/docview.wss?rs=180&uid=swg21210243を参照してください。 |
信頼性検証による ID アサーションを実装するためのプログラミング・インターフェース | アプリケーションまたはシステム・プロバイダーにおいて、信頼性検証で ID アサーションを実行したい場合は、 信頼性検証が 1 つのログイン・モジュールで実行され、別のログイン・モジュールでクレデンシャルが作成される、 Java Authentication and Authorization Service (JAAS) ログイン・フレームワークを使用して実現することができます。 これらの 2 つのカスタム・ログイン・モジュールは、ID アサーションへのログインを実行する JAAS ログイン構成を 作成するために使用されます。 詳しくは、 信頼性検証での ID アサーション を参照してください。 |
Java 2 セキュリティー・マネージャー | WebSphere Application Server バージョン 6.0.x を使用すると、 非システム・スレッドを操作するためにアプリケーションに付与された許可をより詳細に制御できます。 アプリケーションに、was.policy ファイルを使用して非システム・スレッド を操作する許可を与えることができます。ただし、これらのスレッド制御許可は、デフォルトで使用不可です。 詳しくは、was.policy ファイルの構成 を参照してください。 |
SSL チャネル・フレームワーク | Secure Sockets Layer チャネル・フレームワークには新規の IBMJSSE2 インプリメンテーションが組み込まれていて、Java Secure Sockets Extension (JSSE) のセキュリティー機能がネットワーク通信機能から分離されています。 トランスポート・チェーン を参照してください。 |