WebSphere Application Server 用 Tivoli Access Manager セキュリティー
WebSphere® Application Server は、 組み込み IBM® Tivoli® Access Manager クライアント・テクノロジーを提供し、WebSphere Application Server 管理対象リソースを保護します。
- 耐久力のあるコンテナー・ベースの許可
- 集中ポリシー管理
- 共通 ID、ユーザー・プロファイル、および許可メカニズムの管理
- Tivoli Access Manager Web Portal Manager の管理コンソールを使用して、 Java™ Platform, Enterprise Edition (Java EE) 準拠および非準拠の Java EE リソースのセキュリティーを一元的に管理
- アプリケーションのコーディングまたはデプロイメントの変更が不要
- WebSphere Application Server 管理コンソールを使用した、ユーザー、 グループ、およびロールの簡単な管理
WebSphere Application Server は Java Authorization Contract for Containers (JACC) 仕様をサポートします。JACC には Java EE コンテナーおよび許可プロバイダーの契約要件が詳述されています。この契約では、許可プロバイダーは、WebSphere Application Server などの Java EE アプリケーション・サーバーでリソースに対するアクセス決定を、 実行することができます。WebSphere Application Server に組み込まれている Tivoli Access Manager セキュリティー・ユーティリティーは、 JACC に準拠し、以下のために使用されます。
- アプリケーションがデプロイされると、セキュリティー・ポリシー情報を追加します
- WebSphere Application Server に保護されたリソースへのアクセスを許可します。
アプリケーションがデプロイされると、組み込み Tivoli Access Manager クライアントは、アプリケーション・デプロイメント記述子に保管されているか、アノテーションを使用して保管されているポリシーやユーザーおよびロール情報を取り出し、Tivoli Access Manager ポリシー・サーバーに保管します。
WebSphere Application Server によって管理されるリソースへのアクセスをユーザーが要求すると、Tivoli Access Manager JACC プロバイダーも呼び出されます。

- 保護リソースにアクセスするユーザーは、 組み込み Tivoli Access Manager クライアントが使用可能な場合に使用するよう構成された、Tivoli Access Manager ログイン・モジュールを使用して認証されます。
- WebSphere Application Server コンテナーは、Java EE アプリケーション・デプロイメント記述子およびアノテーションからの情報を使用し、 必要なロール・メンバーシップを決定します。
- WebSphere Application Server は組み込み Tivoli Access Manager クライアントを使用して、Tivoli Access Manager 許可サーバーからの許可決定を要求します。 さらなるコンテキスト情報がある場合も、許可サーバーに渡されます。 このコンテキスト情報は、セル名、Java EE アプリケーション名、および Java EE モジュール名から構成されます。任意のコンテキスト情報用に指定されたポリシーが Tivoli Access Manager ポリシー・データベースにある場合、許可サーバーはこの情報を使用して、許可決定を行います。
- 許可サーバーは、Tivoli Access Manager で保護されたオブジェクト・スペース内の、指定のユーザー用に定義された許可を調べます。プロテクト・オブジェクト・スペースはポリシー・データベースの一部です。
- Tivoli Access Manager 許可サーバーは、組み込み Tivoli Access Manager クライアントにアクセス決定を戻します。
- WebSphere Application Server は、Tivoli Access Manager 許可サーバーから戻された決定に基づいて、保護されたメソッドまたはリソースへのアクセスを認可または拒否します。
- 「IBM Tivoli Access Manager for e-business
インストール・ガイド (IBM Tivoli Access Manager for e-business Installation Guide)」
このガイドでは、Tivoli Access Manager セキュア・ドメインの計画、インストール、および構成方法について説明します。一連の簡単なインストール・スクリプトを使用することで、完全に機能するセキュア・ドメインを素早くデプロイできます。 これらのスクリプトは、セキュア・ドメインのデプロイメントをプロトタイピングする際に非常に便利です。
IBM Tivoli Access Manager for e-business インフォメーション・センターにあるこのガイドにアクセスするには、「Access Manager for e-business」>「Installation and upgrade information」>「Installation Guide」とクリックしてください。
- 「IBM Tivoli Access Manager for e-business
管理ガイド (IBM Tivoli Access Manager for e-business Administration Guide)」
この資料は、 保護リソースを管理する Tivoli Access Manager セキュリティー・モデルの概要を示します。このガイドでは、アクセス・コントロール決定を行う Tivoli Access Manager サーバーの構成方法について説明します。さらに、 詳細な説明で、セキュリティー・ポリシーの宣言、保護オブジェクト・スペースの定義、およびユーザーと グループ・プロファイルの管理などの重要なタスクの実行方法を説明します。
IBM Tivoli Access Manager for e-business インフォメーション・センターにある このガイドにアクセスするには、「Access Manager for e-business」>「Administration Information」>「Administration Guide」とクリックしてください。

上図は、Tivoli Access Manager によって保護される複数の WebSphere Application Server を示したアーキテクチャーの例です。
参加している WebSphere Application Server は、Tivoli Access Manager ポリシー・データベースのローカル・レプリカを使用し、入力される要求に対する許可の決定を行います。ローカルのポリシー・データベースは、 マスター・ポリシー・データベースのレプリカです。 マスター・ポリシー・データベースは、 Tivoli Access Manager のインストール・システムの一部として インストールされています。参加している WebSphere Application Server ノードのそれぞれでポリシー・データベースのレプリカを持つことにより、 許可の決定を行う場合のパフォーマンスが最適化され、さらに、フェイルオーバーの機能が提供されます。
WebSphere Application Server と同じシステム上に許可サーバーをインストールすることもできますが、 この構成はダイアグラムには示されていません。
このアーキテクチャーの例では、Tivoli Access Manager および WebSphere Application Server のすべてのインスタンスは、 マシン E 上の Lightweight Directory Access Protocol (LDAP) ユーザー・レジストリーを共有しています。
WebSphere Application Server でサポートされている LDAP レジストリーは、Tivoli Access Manager でもサポートされています。
![[IBM i]](../images/iseries.gif)