メディエーション・セキュリティー

バス・セキュリティーが使用可能なとき、メディエーションがサービス統合バス上で稼働し、メッセージング操作を安全に実行できるようにするには、許可権限が必要です。メディエーション・セキュリティーにはいくつかのメカニズムがあり、 複数のセキュリティー・ドメインにまたがるバス上でメディエーションを実行するとさまざまな影響が出ます。

バス・セキュリティーが使用可能である場合、 メッセージング・エンジンは、メディエーションへのアクセスを許可されている必要があります。許可は、以下のバス・メンバーのバージョンに応じて、メディエーション認証別名または LTPA トークンを使用して付与されます。
  • WebSphere® Application Server バージョン 7.0 以降 バス・メンバーは、メッセージング・エンジン認証に LTPA トークンを使用します。認証別名が指定された場合、使用されますがパスワードは必要ありません。
  • メディエーションを確実に呼び出せるようにするためには、WebSphere Application Server バージョン 6 バス・メンバーに認証別名が必要です。詳しくは、セキュア・メディエーションにアクセスするためのバスの構成を参照してください。

アプリケーションがメッセージをバスに送信する場合、送信側アプリケ ーションの ID はメッセージに関連付けられます。メッセージが転送ルーティング・パスの次の宛先に送信されるのは、 メッセージのオリジネーターがその宛先に対する Sender 権限を持っている場合に限られます。メディエーションがターゲット宛先で何らかの方法でメッセージを処理すると、 デフォルトではそのメッセージに関連付けられている ID が保存されます。 メディエーションをプログラミングして、メッセージ ID を、 メディエーション・コードの実行に使用する ID にリセットすることができます。 例えば、仲介済みの宛先が 2 つのセキュリティー・ドメイン間の境界を表す場合、 送信側のアプリケーションには仲介済みの宛先にアクセスする権限がありません。 複数の異なる ID を単一のユーザー ID に変換することにより、 セキュリティー・ドメイン間でのアクセスを制御できるようになります。メディエーションのプログラミングについて詳しくは、メディエーション・プログラミングを参照してください。resetIdentity() メソッドの使用について詳しくは、SIMediationSession を参照してください。

バス・セキュリティーが使用可能である場合に使用するメディエーションをインストールする際には、メディエーションを呼び出すためにバスが使用する ID が、メディエーションに確実にアクセスできるようにする必要があります。デフォルトでは、メディエーションは非認証です。 アセンブリー・ツールを使用して、RunAs ロールを指定すると、メディエーション認証別名が使用されるように構成できます。詳しくは、メディエーション・ハンドラー用の代替メディエーション ID の構成を参照してください。

バス・セキュリティーが使用可能であり、メディエーションがメッセージを宛先に送信する場合、メディエーション ID は宛先にアクセスするための権限を必要とします。詳しくは、許可の管理を参照してください。メディエーションが送信する新規メッセージはすべて、メディエーション ID を使用して送信されます。

管理セキュリティーが使用不可になっている場合、メディエーションには ID は構成されません。 バス・セキュリティーが使用可能であり、管理セキュリティーが使用不可になっている場合は、 メディエーションはバス宛先へのアクセスに対して認証されません。

複数のセキュリティー・ドメインでのメディエーションの使用

バスのメンバーが複数のセキュリティー・ドメインにまたがるバス・トポロジーで、メディエーションを正常に実行することができます。バス・セキュリティー構成には、メディエーションをサーバー ID で実行できるようにするために、addUserServerIdForMediations というオプションが用意されています。 この場合、メディエーション認証別名は必要ありません。

メディエーションはアプリケーションとしてデプロイされ、バス・ドメイン内ではなく、アプリケーション・サーバーが使用するドメイン内で実行されます。メディエーション認証別名はバス全体に適用されるため、異なるドメインの複数のサーバー上でメディエーションを実行する場合、メディエーション認証別名のユーザー ID はドメインごとの構成に存在するようにする必要があります。他にも、サーバー ID オプションを使用するように選択することもできます。複数のドメインが使用されていなくても、このオプションを使用することができます。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjp0021_
ファイル名:cjp0021_.html