WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

セッション・セキュリティー・サポート

HTTP セッションとセキュリティーは WebSphere Application Server 内で統合することができます。 セッション管理機構内でセキュリティー統合が使用可能になっていて、 セッションが保護リソース内でアクセスされた場合には、それ以降、このセッションには保護リソース内でしかアクセスできません。

セキュリティー統合がオンになっている場合、 保護されているリソースと保護されていないリソース (ともにセッションにアクセスする) を 混在させることはできません。 セッション管理機構内のセキュリティー統合は、 SWAM によるフォーム・ベースのログインではサポートされていません。
注: SWAM は WebSphere Application Server バージョン 6.1 では推奨されておらず、将来のリリースでは除去される予定です。

HTTP セッション用のセキュリティー統合規則

保護ページで作成されるセッションには、認証済みユーザーのみアクセスできます。 このセッションは、認証済みユーザーの ID の下で作成されます。 この認証済みユーザーのみが、他の保護ページ内のこれらのセッションにアクセスできます。 無許可ユーザーの使用から保護するため、これらのセッションは無保護ページからアクセスできないようになっています。

方針に基づいた詳細とシナリオ

WebSphere Application Server は、 個々のセッションのセキュリティーを維持します。

ID またはユーザー名は、com.ibm.websphere.servlet.session.IBMSession インターフェースで読み取り可能なもので、1 つのセッションと関連付けられています。 非認証の ID は、ユーザー名「anonymous」で表されます。 WebSphere Application Server には、 com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException クラスが組み込まれています。 これは、必要な信任状なしにセッションが要求された場合に使用されます。

セッション管理機構は、WebSphere Application Server セキュリティー・インフラストラクチャーを使用して、 セッションの検索または作成を行うクライアント HTTP 要求と関連付けられた認証済み ID を判別します。 WebSphere Application Server セキュリティーは、証明書、LPTA、およびその他の方法を用いて、ID を判別します。

セッション管理機構は、現行要求の ID を取得してから、 getSession 呼び出しを使用して要求されたセッションを戻すかどうかを判断します。

以下の表には、セキュリティー統合が使用可能になっている、想定可能なシナリオがリストされています。 これらの結果は、HTTP 要求が認証済みであるかどうか、 および有効なセッション ID とユーザー名がセッション管理機構に渡されたかどうかによって異なります。

  セッションを取り出すのに、非認証 HTTP 要求が使用されている。 HTTP 要求が、セッションの取り出しに FRED という ID を 使用して認証されている。
この要求についてセッション ID が渡されなかったか、 あるいはその ID が無効になったセッション用のものであった。 新しいセッションが作成される。ユーザー名は「anonymous」。 新しいセッションが作成される。ユーザー名は「FRED」。
有効なセッションのセッション ID が渡された。 現在のセッション・ユーザー名は「anonymous」。 セッションは戻される。 セッションは戻される。セッション管理機構がユーザー名を「FRED」に変更する
有効なセッションのセッション ID が渡された。 現在のセッション・ユーザー名は「FRED」。 セッションは戻されない。UnauthorizedSessionRequestException エラーが作製される* セッションは戻される。
有効なセッションのセッション ID が渡された。 現在のセッション・ユーザー名は「BOB」。 セッションは戻されない。UnauthorizedSessionRequestException エラーが作製される* セッションは戻されない。UnauthorizedSessionRequestException エラーが作製される*

* com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException エラーがサーブレットに作製される。




関連概念
セッション管理サポート
関連タスク
タスクの概要: HTTP セッションの管理
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/rprs_secg.html