SPNEGO TAI を使用した HTTP 要求のシングル・サインオン (非推奨)
WebSphere® Application Server は、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、WebSphere Application Server の保護されたリソースへの HTTP 要求を安全にネゴシエーションして認証する、トラスト・アソシエーション・インターセプター (TAI) を提供しています。

WebSphere Application Server バージョン 6.1 では、 Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、セキュアなリソース用の HTTP 要求に対し、 ネゴシエーションおよび認証をセキュアに行うトラスト・アソシエーション・インターセプター (TAI) が導入されました。WebSphere Application Server 7.0 では、この機能は 推奨されていません。SPNEGO フィルターの動的再ロードおよびアプリケーション・ログイン方式へのフォールバックの有効化を行うために、SPNEGO Web 認証が用意されています
詳しくは、 SPNEGO Web 認証を使用した HTTP 要求のシングル・サインオンの作成を参照してください。
depfeatSPNEGO は、『The Simple and Protected GSS-API Negotiation Mechanism (IETF RFC 2478)』で定義された標準規格です。
HTTP ユーザーはデスクトップで 1 度だけログインと認証を行い、その後は WebSphere Application Server で (内部的に) 認証されます。SPNEGO TAI は、 WebSphere アプリケーションのエンド・ユーザーには不可視です。 SPNEGO TAI は、Web 環境の正しく構成し、容量を確保し、保守を行う Web 管理者にのみ可視になります。
Active Directory ドメインおよび関連する Kerberos Key Distribution Center (KDC) を備えた Microsoft Windows Server。 サポートされる Microsoft Windows Server については、WebSphere Application Server バージョン 9.0 on Windows のシステム要件を参照してください。
- IETF RFC 2478 で定義されている SPNEGO 認証メカニズムをサポートするクライアント・アプリケーション (例えば、ブラウザーまたは Microsoft .NET クライアント)。 Microsoft Internet Explorer バージョン 5.5 またはそれ以降および Mozilla Firefox バージョン 1.0 は、ブラウザーの例です。どのブラウザーも、SPNEGO メカニズムを使用するように構成する必要があります。 この構成の実行について詳しくは、SPNEGO TAI を使用するためのクライアント・ブラウザーの構成 (非推奨)を 参照してください。
ユーザー確認のための質問への応答のハンドシェーク・プロセスを、次の図で説明します。

- Kerberos 構成プロパティーのセットアップ。Kerberos 構成ファイルを参照してください。
- SPNEGO TAI カスタム・プロパティーの設定または調整。SPNEGO TAI カスタム・プロパティー構成 (非推奨)を参照してください。
- SPNEGO TAI フィルター設定の調整。WebSphere Application Server における JVM カスタム・プロパティーの構成、 HTTP 要求のフィルタリング、および SPNEGO TAI の使用可能化 (非推奨)を参照してください。
- カスタム・ログイン・モジュールを使用した、Active Directory から WebSphere Application Server レジストリーへの ID のマップ。 SPNEGO 用にユーザー ID をクライアントからサーバーにマップするを参照してください。
- Java 仮想マシン (JVM) の主要カスタム・プロパティーと追加カスタム・プロパティーの設定。 SPNEGO TAI JVM 構成カスタム・プロパティー (非推奨)を参照してください。
Web 管理者は、以下の図で説明するように、次の SPNEGO TAI セキュリティー・コンポーネントおよび関連付けられた構成データへのアクセス権を持っています。

- Web 認証モジュールおよび Lightweight Third Party Authentication (LTPA) メカニズムは、トラスト・アソシエーション・インターセプターのプラグイン・ランタイム・フレームワークを提供します。 SPNEGO TAI で使用するために LTPA メカニズムを構成する方法の詳細については、 Lightweight Third Party Authentication メカニズムの構成を参照してください。
- Java Generic Security Service (JGSS) プロバイダーは、Java
SDK (
jre/lib/ibmjgssprovider.jar
app_server_root/java/endorsed/ibmjgssprovider.jar) に組み込まれており、認証に使用される Kerberos セキュリティー・コンテキスト および信任状の取得に使用されます。 IBM® JGSS 1.0 は、Kerberos V5 を基底となるデフォルトのセキュリティー・メカニズムとする、Java Generic Security Service Application Programming Interface (GSSAPI) フレームワークです。 GSSAPI は標準化された抽象インターフェースであり、その下で秘密鍵、公開鍵、および他のセキュリティー技術を基 礎にしたさまざまなセキュリティー・メカニズムに接続できます。 基底となるさまざまなセキュリティー・メカニズムが複雑であり特異であっても、GSSAPI を使用することによって、 セキュア・アプリケーションはこれらを意識する必要がなくなります。 また、GSSAPI は ID とメッセージの発信元認証、メッセージの保全性、およびメッセージの機密性を提供します。 詳しくは、JGSS を 参照してください。
- Kerberos 構成プロパティー (krb5.conf または krb5.ini ) と Kerberos
暗号鍵 (Kerberos キータブ・ファイルに保管) は、セキュアな相互認証の確立に使用されます。
JGSS の一部である Kerberos キー・テーブル・マネージャー (Ktab) により、ローカルの Kerberos キータブ・ファイルに保管されたプリンシパル名とサービス・キーを管理できます。Kerberos キータブ・ファイルにリストされたプリンシパル名と鍵ペアにより、ホスト上で実行している サービスは、Kerberos 鍵配布センター (KDC) に対し、自己の認証を行うことができます。サーバーが Kerberos を使用する前に、サーバーが稼働するホスト上で Kerberos キータブ・ファイルを初期化する必要があります。
Kerberos キータブ・ファイルを管理するための ktab コマンドの使用では、Ktab の使用法と同時に SPNEGO TAI に対する Kerberos の構成要件を中心に説明しています。
- SPNEGO プロバイダーによって、SPNEGO 認証メカニズムの実装が提供されます。
これは、
/$WAS_HOME/java/jre/lib/ext/ibmspnego.jar
app_server_root/java/ext/ibmspnego.jar に あります。
- カスタム構成プロパティーは、SPNEGO TAI のランタイムの振る舞いを制御します。構成の操作は、管理コンソールまたはスクリプト機能を使用して実行します。 これらのカスタム構成プロパティーについて詳しくは、SPNEGO TAI カスタム・プロパティー構成 (非推奨)を参照してください。
- Java 仮想マシン (JVM) カスタム・プロパティーは、JGSS セキュリティー・プロバイダーの問題判別のための診断トレース情報と、 プロパティー再ロード機能の使用を制御します。 SPNEGO TAI JVM 構成カスタム・プロパティー (非推奨)では、これらの JVM カスタム・プロパティーについて説明されています。
Active Directory ドメインを使用する Microsoft Windows Servers との統合シングル・サインオン環境が確立されます。
- 多数の ID およびパスワードの管理コストが削減されます。
- Web ブラウザーまたは Microsoft .NET クライアントからのセキュリティー・クレデンシャルの送信を保護し、相互認証します。
- SPNEGO 認証を使用する Web サービスおよび Microsoft .NET アプリケーションとの、トランスポート・レベルでのインターオペラビリティーを実現します。
- エンド・ブラウザー・ユーザー
- エンド・ユーザーは、SPNEGO TAI によって処理される HTTP 要求 を発行するように、Web ブラウザーまたは Microsoft .NET アプリケーションを構成する必要があります。
- Web 管理者
- Web 管理者は、クライアントの HTTP 要求 に応答するように、WebSphere Application Server の SPNEGO TAI の構成します。
- WebSphere Application Server 管理者
- WebSphere Application Server 管理者は、最適なインストール・パフォーマンスを目指して、 WebSphere Application Server と SPNEGO TAI を構成します。