この例は、ユーザー bob を介してサーバー S1 上のセキュアなエンタープライズ Bean にアクセスする、ピュアな Java™ クライアント C を示しています。
以下のステップでは、C、S1、および S2 の構成を行います。
このタスクについて
S1 上のエンタープライズ Bean コードは、サーバー S2 上の別のエンタープライズ Bean にアクセスします。この構成は、
ID アサーションを使用してダウンストリーム・サーバー S2 に bob の識別を伝えます。
S2 は、S1 を信頼しているため、
bob が既に S1 によって認証済みであることを信頼します。
この信頼を得るには、S1 の識別も同時に S2 に渡され、S2 が trustedPrincipalList リストを検査してこの識別が有効な
サーバー・プリンシパルであることを確認することで、この識別の妥当性検査を行います。
S2 は S1 の認証も行います。
手順
- Secure Sockets Layer (SSL) トランスポートによるメッセージ層認証のためにクライアント C を構成します。
- クライアントが sas.client.props ファイルを指すようにします。
com.ibm.CORBA.ConfigURL=file:/C:/was/properties/sas.client.props プロパティーを使用します。
これ以降のすべての構成には、このファイル内でのプロパティーの設定が関係します。
com.ibm.CORBA.ConfigURL=file:/profile_root/properties/sas.client.props プロパティーを使用します。
profile_root 変数は、操作対象となる特定のプロファイルです。
これ以降のすべての構成には、このファイル内でのプロパティーの設定が関係します。
- SSL を使用可能にします。
この場合、SSL はサポートされますが必須ではありません。com.ibm.CSI.performTransportAssocSSLTLSSupported=true,
com.ibm.CSI.performTransportAssocSSLTLSRequired=false
- メッセージ層でクライアント認証を使用可能にします。
この場合、クライアント認証はサポートされますが必須ではありません。com.ibm.CSI.performClientAuthenticationRequired=false,
com.ibm.CSI.performClientAuthenticationSupported=true
- sas.client.props ファイル内の残りのすべてはデフォルトを使用します。
- サーバー S1 を構成します。
管理コンソールで、
サーバー S1 を、メッセージ層クライアント認証をサポートする着信要求用と、
クライアント証明書認証なしで SSL をサポートする着信接続用に構成します。
サーバー S1 を、ID アサーションをサポートする発信要求用に構成します。
- S1 を着信接続用に構成します。
- ID アサーションを使用不可にします。
- ユーザー ID とパスワード認証を使用可能にします。
- SSL を使用可能にします。
- SSL クライアント証明書認証を使用不可にします。
- S1 を発信接続用に構成します。
- ID アサーションを使用可能にします。
- ユーザー ID とパスワード認証を使用不可にします。
- SSL を使用可能にします。
- SSL クライアント証明書認証を使用不可にします。
- サーバー S2 を構成します。
管理コンソールで、
サーバー S2 を、ID アサーションをサポートし、SSL 接続を受け入れる着信要求用に構成します。
以下のステップを完了して、着信接続を構成します。
発信要求および発信接続用の構成は、この例には関係ありません。
- ID アサーションを使用可能にします。
- ユーザー ID とパスワード認証を使用不可にします。
- SSL を使用可能にします。
- SSL クライアント認証を使用不可にします。