JACC プロバイダーとしての Tivoli Access Manager の統合
Tivoli® Access Manager は、WebSphere® Application Server で Java™ Authorization Contract for Container (JACC) モデルを使用して、アクセス検査を行います。
- ランタイム
- クライアント構成
- 許可テーブル・サポート
- アクセス・チェック
- PDLoginModule モジュールを使用した認証
ランタイム変更のため、Tivoli Access Manager には、JACC に必要な PolicyConfigurationFactory および PolicyConfiguration インターフェースが実装されています。 アプリケーションのインストール時に、デプロイメント記述子のセキュリティー・ポリシー情報およびバインディング・ファイル内の許可テーブル情報が、これらのインターフェースを使用して Tivoli プロバイダーに伝搬されます。 Tivoli プロバイダーは、それぞれの Tivoli Access Manager アプリケーション・プログラミング・インターフェース (API) を呼び出すことにより、ポリシーおよび許可テーブルの情報を Tivoli Access Manager ポリシー・サーバーに保管します。
また、Tivoli Access Manager には、RoleConfigurationFactory および RoleConfiguration インターフェースが実装されています。 これらのインターフェースを使用することにより、許可テーブル情報が、ポリシー情報とともにプロバイダーに確実に受け渡されます。 これらのインターフェースについて詳しくは、JACC をサポートするインターフェースを参照してください。
Tivoli Access Manager クライアントを構成するには、管理コンソールまたは wsadmin スクリプトのいずれかを使用できます。 Tivoli Access Manager クライアント構成用の管理コンソール・パネルにアクセスするには、「セキュリティー」>「グローバル・セキュリティー」>「外部許可プロバイダー」とクリックします。 「関連項目」の下の「外部 JACC プロバイダー」をクリックします。Tivoli クライアントは、Tivoli Access Manager JACC プロバイダーを使用するようセットアップする必要があります。
Tivoli Access Manager クライアントを構成する方法について詳しくは、Tivoli Access Manager JACC プロバイダー構成を参照してください。
Tivoli Access Manager は、RoleConfiguration インターフェースを使用して、アプリケーションがインストールまたはデプロイされるときに、許可テーブル情報を Tivoli Access Manager プロバイダーに確実に受け渡します。 アプリケーションがデプロイまたは編集される際、ユーザーまたはグループとロールの間のマッピングのための、ユーザーおよびグループのセットが、Tivoli Access Manager サーバーから取得されます。 このサーバーは、WebSphere Application Server と同じ Lightweight Directory Access Protocol (LDAP) サーバーを共有します。 この共有は、アプリケーション管理のユーザーまたはグループとロールの間の管理コンソール・パネルへのプラグインにより、実現されています。 WebSphere Application Server に構成された LDAP レジストリーに依存するのではなく、管理 API がユーザーおよびグループを取得するために呼ばれます。
ユーザーまたはグループからロールへのマッピングは、 アプリケーション・レベルであり、ノード・レベルではありません。
WebSphere Application Server が Tivoli Access Manager に対して JACC プロバイダーを使用するよう構成されている場合は、アクセスの決定が行えるよう、Tivoli Access Manager に情報が受け渡されます。Tivoli Access Manager ポリシーの実装では、アクセスの決定のため、アクセス・コントロール・リスト (ACL) データベースのローカル・レプリカを照会します。
WebSphere Application Server のカスタム・ログイン・モジュールで、認証を行うことができます。このログイン・モジュールは、WebSphere Application Server が提供するログイン・モジュールの前にプラグインされます。 カスタム・ログイン・モジュールは、サブジェクトに保管される情報を提供できます。 必要な情報が保管された場合は、その情報を取得するための余計なレジストリー呼び出しは行われません。