トラスト・アソシエーション
トラスト・アソシエーション により、IBM® WebSphere® Application Server セキュリティーとサード・パーティー製セキュリティー・サーバーとを統合することができます。具体的には、 リバース・プロキシー・サーバーがフロントエンド認証サーバーとして機能できるようになる一方で、この製品は、 製品自体の許可ポリシーを、プロキシー・サーバーから渡されたクレデンシャルに適用します。
このような統合構成の要求は、 特に 1 つの製品で顧客のあらゆるニーズに対応できない場合や、 マイグレーションが難しい場合に、ますます差し迫ってきています。
このセットアップでは、WebSphere Application Server は、詳細なアクセス制御をさらに活用するバックエンド・サーバーとして使用されます。 リバース・プロキシー・サーバーは、認証済みユーザーのクレデンシャルを含む HTTP 要求を、WebSphere Application Server に渡します。WebSphere Application Server は、そのクレデンシャルを使用して要求を許可します。
トラスト・アソシエーション・モデル
WebSphere Application Server がトラスト・アソシエーションをサポートできるという着想は、この製品のアプリケーション・セキュリティーが、リバース・プロキシー・サーバーから受信した HTTP 要求を認識し、処理することを意味します。WebSphere Application Server とプロキシー・サーバーは、この製品がプロキシー・サーバーを完全に信頼し、かつ、プロキシー・サーバーは、認証ポリシーを、WebSphere Application Server にディスパッチされるすべての Web 要求に対して適用するという契約を結びます。この信頼性は、 受信したすべての要求について、製品環境内のインターセプターによって検証されます。 検証は、プロキシー・サーバーとインターセプターの間で合意に達した方法で行われます。
トラスト・アソシエーション・モードで実行しても、WebSphere Application Server がプロキシー・サーバーを経由しない要求を受け入れるのを防止することはできません。 この場合には、信頼性の検証にインターセプターは不要です。
- com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus
- 新規 WebSphere Application Server インターフェースを実装した、この TAI インターセプターの実装では、WebSphere Application Server バージョン 5.1.1 およびそれ以降のバージョンがサポートされます。このインターフェースでは WebSEAL バージョン 5.1 はサポートされていますが、WebSEAL バージョン 4.1
はサポートされていません。
セキュリティー属性伝搬については、セキュリティー属性の伝搬を参照してください。
注: TAI インターセプターの実装では、WebSphere Application Server for z/OS® バージョン 5.1.0.2 もサポートしています。
- com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl
- このインターセプターは、今回のリリースで 新しく導入されました。SPNEGO TAI に代わって SPNEGO が、WebSphere Application Server の Web オーセンティケーターになりました。

IBM WebSphere Application Server: WebSEAL 統合
WebSEAL と WebSphere Application Server セキュリティーの統合を実現するには、WebSEAL サーバーをリバース・プロキシー・サーバーとしてフロントエンドに配置します。WebSEAL の管理という視点から、一方の端に WebSEAL を、他方の端に本製品の Web サーバーを配置したジャンクションが構築されます。ジャンクションとは、WebSEAL サーバーから別のサーバーへのパスを確立するために作成される論理接続です。
このセットアップでは、本製品の保護ドメインに保管されている Web リソースに対する要求が WebSEAL サーバーにサブミットされ、ここで、WebSEAL のセキュリティー・レルムに照らして認証されます。要求元ユーザーにジャンクションへのアクセス権があれば、要求はジャンクションを介して WebSphere Application Server の HTTP サーバーへ、次いでアプリケーション・サーバーへと伝送されます。
一方、WebSphere Application Server はジャンクションを介して入ってくるすべての要求を検証し、送信元が信頼できる相手であることを確認します。このプロセスは、「信頼性の検証」として参照され、WebSEAL 製品が指定するインターセプターによって実行されます。 検証に成功すると、WebSphere Application Server は、クライアント・ユーザーが Web リソースにアクセスするのに必要な許可を得ているかどうかを調べた上で、要求を許可します。要求が許可されると、Web リソースが Web サーバーを介して WebSEAL サーバーに配信され、 そのリソースはクライアント・ユーザーに渡されます。
WebSEAL サーバー
Policy Director は、すべての Web 要求を、その Web コンポーネントである WebSEAL サーバーに委任します。サーバーの主要機能の 1 つは、要求元ユーザーの認証を行うことです。 WebSEAL サーバーは、 Lightweight Directory Access Protocol (LDAP) ディレクトリーを参照します。 また、グローバルのシングル・サインオン (GSO) を使用する場合のように、元のユーザー ID を別のユーザー ID にマップする場合もあります。

認証を正常に行うために、サーバーは、要求を送る際に、WebSphere Application Server に対するクライアントのロールを果たします。サーバー自体を WebSphere Application Server に対して識別するためには、 サーバー独自のユーザー ID とパスワードが必要です。 この ID は、WebSphere Application Server のセキュリティー・レルムで有効でなければなりません。WebSEAL サーバーは、HTTP 要求内の基本認証情報を、 独自のユーザー ID とパスワードで置き換えます。 さらに、WebSphere Application Server アプリケーション・サーバーは、要求元クライアントのクレデンシャルを判別する必要があります。それによって、アプリケーション・サーバーは、許可の決定に ID を使用することができるようになります。この情報は、Tivoli® Access Manager ユーザー・クレデンシャルを値 として持つ iv-creds と呼ばれるヘッダーを作成することにより、HTTP 要求を介して伝送されます。
HTTP サーバー
WebSEAL サーバーで作成されるジャンクションは、 本製品のフロントエンドとして機能する HTTP サーバーに届く必要があります。しかし、HTTP サーバーには、トラスト・アソシエーションが使用されているかどうかはわかりません。 その点では、WebSEAL 製品ももう 1 つの HTTP クライアントであるにすぎず、その通常のルーチンの一環として、 HTTP 要求を本製品に送信します。HTTP サーバーでの唯一の要件は、 サーバー認証だけを使用する Secure Sockets Layer (SSL) 構成です。 この要件によって、ジャンクション内を流れる要求が保護されます。
Web コラボレーター
- 要求を認証する
- 要求を許可する
Web オーセンティケーター
Web オーセンティケーターは、Web コラボレーターの求めに応じて、指定の HTTP 要求の認証を行います。トラスト・アソシエーションが使用可能になっていることがわかっている場合、Web オーセンティケーターのタスクは、該当するトラスト・アソシエーション・インターセプターを見つけて、処理のための要求を送信することです。 Web オーセンティケーターは、使用可能なすべてのインターセプターを照会します。 ターゲット・インターセプターが見つからない場合は、トラスト・アソシエーションが使用できない場合と同様に、 Web オーセンティケーターが要求を処理します。
WebSphere Application Server バージョン 4 から WebSphere Application Server バージョン 6.x までは、com.ibm.websphere.security.TrustAssociationInterceptor.java インターフェースを サポートしています。WebSphere Application Server バージョン 7.0.x 以降は com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl インターフェースをサポートします。
トラスト・アソシエーション・インターセプター・インターフェース
トラスト・アソシエーション・インターセプター・インターフェースの目的は、リバース・プロキシー・セキュリティー・サーバー (RPSS) を公開されたエントリー・ポイントとして存在させ、認証ときめの粗い許可を実行することです。これに対して、WebSphere Application Server はきめの細かいアクセス制御を実行します。トラスト・アソシエーションにより公開の範囲とリスクが削減され、セキュリティーが向上します。
典型的な e-business のインフラストラクチャーでは、企業の分散環境は、 Web アプリケーション・サーバー、Web サーバー、既存システム、 および 1 つ以上の RPSS (Tivoli WebSEAL 製品など) で構成されています。Web サーバー内部に登録されているこのようなリバース・プロキシー・サーバー、 フロントエンド・セキュリティー・サーバー、またはセキュリティー・プラグインが、 Web サーバーおよび Web アプリケーション・サーバーへの HTTP アクセス要求を保護します。 これらの RPSS は、Uniform Resource Identifier (URI) へのアクセスを保護する一方で、 認証とおおまかな許可、およびターゲット・アプリケーション・サーバーへの要求のルーティングを実行します。
- com.ibm.websphere.ssl.direct_connection_peer_certificates 属性。これには、直接ピアの証明書の X509Certificate[] オブジェクトが含まれます。
- com.ibm.websphere.ssl.direct_connection_cipher_suite 属性。これには、直接暗号スイートのストリング・オブジェクトが含まれます。
- com.ibm.websphere.webcontainer.is_direct_connection 属性には、接続が Web サーバーを通して行われたか、WebSphere Application Server に直接行われたかを示すブール・オブジェクトが含まれています。
これらの属性について詳しくは、トピック『Web コンテナーの要求属性』を参照してください。