グローバル・サインオン・プリンシパル・マッピングの構成

Tivoli® Access Manager GSO データベースを使用するアプリケーション・ログインを新規作成して、ログイン・クレデンシャルを保管できます。

手順

  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「認証」で、「Java™ 認証・承認サービス (JAAS)」>「アプリケーション・ログイン」をクリックします。
  3. 新規」をクリックして、Java Authentication and Authorization Service (JAAS) ログイン構成を新規作成します。
  4. 新規アプリケーション・ログインの別名を入力します。「適用」をクリックします。
  5. 「追加プロパティー」の下で、「JAAS ログイン・モジュール」をクリックして、 JAAS ログイン・モジュールを定義します。
  6. 新規」をクリックして、以下の情報を入力します。

    モジュール・クラス名: com.tivoli.pdwas.gso.AMPrincipalMapper
    ログイン・モジュール・プロキシーの使用: enable
    認証ストラテジー: REQUIRED

  7. 適用」をクリックします。
  8. 「追加プロパティー」セクションで、「カスタム・プロパティー」をクリックして、 基礎となるログイン・モジュールに直接渡されるログイン・モジュール固有の値を定義します。
  9. 新規」をクリックします。

    Tivoli Access Manager プリンシパル・マッピング・モジュールは、authDataAlias 構成ストリングを使用して、正しいユーザー名およびパスワードをセキュリティー構成から検索します。

    モジュールに渡される authDataAlias 属性は、J2C 接続ファクトリー用に構成されています。 authDataAlias 属性は、構成時に入力される任意のストリングであるため、以下のシナリオが考えられます。
    • authDataAlias 属性には、グローバル・サインオン (GSO) リソース名およびユーザー名の両方が含まれています。 このストリングの形式は「Resource/User」です。
    • authDataAlias 属性に、GSO リソース名のみが含まれています。 このユーザー名は、現行セッションの Subject を使用して決定されます。
    使用するシナリオは、以下のように JAAS 構成オプションによって決定されます。
    • 名前: com.tivoli.pd.as.gso.AliasContainsUserName
    • : 別名にユーザー名が含まれる場合は true、ユーザー名をセキュリティー・コンテキストから検索する必要がある場合は false。
    WebSphere® Application Server 管理コンソールを介して authDataAlias 属性を入力する場合、別名の先頭にノード名が自動的に付加されます。 JAAS 構成エントリーは、以下のように、このノード名を除去するか、リソース名の一部として組み込むかどうかを決定します。
    • 名前: com.tivoli.pd.as.gso.AliasContainsNodeName
    • : 別名にノード名が含まれている場合は true。
    注: PdPerm.properties 構成ファイルがデフォルトのロケーションである JAVA_HOME/PdPerm.properties にない場合は、次のプロパティーを追加する必要もあります。
    • 名前: com.tivoli.pd.as.gso.AMCfgURL
    • : file:///path to PdPerm.properties

    以下のシナリオ情報をガイドとして使用して各新規パラメーターを入力し、「適用」をクリックします。

    シナリオ 1
    • 認証データ別名 - BackendEIS/eisUser
    • リソース - BackEndEIS
    • ユーザー - eisUser
    • プリンシパル・マッピング・パラメーター
    表 1. プリンシパル・マッピング・パラメーター.

    この表は、プリンシパル・マッピング・パラメーターをリストしています。

    名前
    代行 com.tivoli.pdwas.gso.AMPrincipalMapper
    com.tivoli.pd.as.gso.AliasContainsUserName true
    com.tivoli.pd.as.gso.AliasContainsNodeName false
    com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path
    debug false
    シナリオ 2
    • 認証データ別名 - BackendEIS
    • リソース - BackEndEIS
    • ユーザー - 現行の認証済み WebSphere Application Server ユーザー
    • プリンシパル・マッピング・パラメーター
    表 2. プリンシパル・マッピング・パラメーター.

    この表は、プリンシパル・マッピング・パラメーターをリストしています。

    名前
    代行 com.tivoli.pdwas.gso.AMPrincipalMapper
    com.tivoli.pd.as.gso.AliasContainsUserName false
    com.tivoli.pd.as.gso.AliasContainsNodeName false
    com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path
    debug false
    シナリオ 3
    • 認証データ別名 - nodename/BackendEIS/eisUser
    • リソース - BackEndEIS
    • ユーザー - eisUser
    • プリンシパル・マッピング・パラメーター
    表 3. プリンシパル・マッピング・パラメーター.

    この表は、プリンシパル・マッピング・パラメーターをリストしています。

    名前
    代行 com.tivoli.pdwas.gso.AMPrincipalMapper
    com.tivoli.pd.as.gso.AliasContainsUserName true
    com.tivoli.pd.as.gso.AliasContainsNodeName true
    com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path
    debug false
    シナリオ 4
    • 認証データ別名 - nodename/BackendEIS/eisUser
    • リソース - nodename/BackEndEIS (ノード名が除去されていないことに注意してください)
    • ユーザー - eisUser
    • プリンシパル・マッピング・パラメーター
    表 4. プリンシパル・マッピング・パラメーター.

    この表は、プリンシパル・マッピング・パラメーターをリストしています。

    名前
    代行 com.tivoli.pdwas.gso.AMPrincipalMapper
    com.tivoli.pd.as.gso.AliasContainsUserName true
    com.tivoli.pd.as.gso.AliasContainsNodeName false
    com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path
    debug false
    シナリオ 5
    • 認証データ別名 - BackendEIS/eisUser
    • リソース - BackEndEIS
    • ユーザー - eisUser
    • プリンシパル・マッピング・パラメーター
    表 5. プリンシパル・マッピング・パラメーター.

    この表は、プリンシパル・マッピング・パラメーターをリストしています。

    名前
    代行 com.tivoli.pdwas.gso.AMPrincipalMapper
    com.tivoli.pd.as.gso.AliasContainsUserName false
    com.tivoli.pd.as.gso.AliasContainsNodeName true
    com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path
    debug false
    シナリオ 6
    • 認証データ別名 - nodename/BackendEIS/eisUser
    • リソース - nodename/BackendEIS/eisUser (リソースが認証データ別名と同じであることに注意してください)
    • ユーザー - 現行の認証済み WebSphere Application Server ユーザー
    • プリンシパル・マッピング・パラメーター
    表 6. プリンシパル・マッピング・パラメーター.

    この表は、プリンシパル・マッピング・パラメーターをリストしています。

    名前
    代行 com.tivoli.pdwas.gso.AMPrincipalMapper
    com.tivoli.pd.as.gso.AliasContainsUserName false
    com.tivoli.pd.as.gso.AliasContainsNodeName false
    com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path
    debug false
  10. Java 2 Connector (J2C) 認証別名を作成します。 ユーザー名およびパスワードの指定は Tivoli Access Manager が行うため、これらの別名エントリーに割り当てられるユーザー名およびパスワードには意味がありません。 ただし、管理コンソールの J2C 接続ファクトリー用に選択できるように、J2C 認証別名に割り当てられたユーザー名および パスワードを用意する必要があります。

    J2C 認証別名を作成するには、WebSphere Application Server 管理コンソールから、「セキュリティー」 「グローバル・セキュリティー」とクリックします。「認証」の下で、「Java Authentication and Authorization Service」 「J2C 認証データ」とクリックし、次にそれぞれの新規エントリーごとに「新規」をクリックします。シナリオ入力については、上記の表を参照してください。

    GSO データベースを使用する必要がある各リソース・アダプターの接続ファクトリーは、Tivoli Access Manager プリンシパル・マッピング・モジュールを使用するように構成する必要があります。
    1. WebSphere Application Server 管理コンソールから、「アプリケーション」「エンタープライズ・アプリケーション」「application_name」「リソース参照」をクリックします。 J2C 接続ファクトリーは、選択されたアプリケーションに対して構成済みでなければなりません。 新規 J2C 接続ファクトリーを構成するには、『管理コンソールでの Java EE 接続ファクトリーの構成』 を参照してください。
    2. 「追加プロパティー」の下の「リソース・アダプター」をクリックします。

      リソース・アダプターはスタンドアロンとして使用できます。アプリケーションと一緒にパッケージ化する必要はありません。 リソース・アダプターは、スタンドアロン・シナリオの場合、「リソース」 「リソース・アダプター」から構成されます。

    3. 「追加プロパティー」の下の「J2C 接続ファクトリー」をクリックします。
    4. 新規」をクリックして、接続ファクトリーのプロパティーを入力します。
    5. 終了したら、「適用」「保管」をクリックします。
    重要:
    接続ファクトリーにおけるカスタム・マッピング構成は、WebSphere Application Server バージョン 6 では推奨されていません。GSO クレデンシャル・マッピングを構成するには、管理コンソールの「リソース参照をリソースにマップ」パネルを使用することをお勧めします。 詳しくは、『J2EE コネクター・セキュリティー』を参照してください。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_gso_mapping
ファイル名:tsec_config_gso_mapping.html