セキュア・アプリケーションのデプロイ

セキュリティー制約のあるアプリケーション (セキュア・アプリケーション) のデプロイは、 セキュリティー制約のないアプリケーションのデプロイとあまり異なりません。 唯一の違いは、ユーザーおよびグループをセキュア・アプリケーションのロールに割り当てる必要があるということです。 セキュア・アプリケーションを使用するには、正しいアクティブ・ユーザー・レジストリーが必要です。

始める前に

このタスクを実行する前に、関連するすべてのセキュリティー構成とともに、 アプリケーションの設計、開発、およびアセンブルが既に完了していることを確認します。 これらのタスクの詳細については、プログラマチック・セキュリティーを使用するアプリケーションの開発およびアセンブリーおよびデプロイメント中のアプリケーションの保護を参照してください。このコンテキストでは、 アプリケーションのデプロイとインストールは同一のタスクと考えられています。
新しいセキュア・アプリケーションをデプロイするには、「アプリケーション」>「新規アプリケーションのインストール」をクリックし、プロンプトに従ってインストールのステップを実行します。 セキュア・アプリケーションのデプロイに必要なステップの 1 つは、アプリケーションによって定義済みのロールにユーザーおよびグループを割り当てることです。
  • セキュア・アプリケーションをインストールする場合は、ロールがアプリケーションによって定義されます。
  • アプリケーションで代行が必要な場合は、RunAs ロールも定義します。

新規アプリケーションのインストール時、ロールの定義は、セキュリティー・ロールをユーザーおよびグループにマップするステップの一環として完了されます。 アセンブリー・ツールを使用してこの割り当てが既に完了している場合も、このインストールのステップを通して、マッピングを確認できます。 このステップ中に、新規ユーザーおよびグループを追加したり、 既存情報を変更したりすることができます。

アプリケーションが代行をサポートする場合は、RunAs ロールは既にアプリケーションによって定義されています。 代行ポリシーがアセンブリー中に指定された ID に設定されている場合、仲介プログラムは、デプロイ中に ID セットアップを使用してメソッドを呼び出します。 RunAs ロールは、ダウンストリーム呼び出しを行うための ID の指定に使用されます。 例えば、RunAs ロールにユーザー bob が割り当てられており、クライアント alice が、エンタープライズ Bean を呼び出す代行設定を使用してサーブレットを呼び出すと、エンタープライズ Bean のメソッドが ID bob で呼び出されます。

新規アプリケーションのインストールおよびデプロイメント・プロセスの一環として、ステップの 1 つでユーザーを RunAs ロールにマップまたは変更します。 代行ポリシーが、指定された ID に対して設定されている場合は、このステップを使用して、RunAs ロールに新規ユーザーを割り当てるか、既存ユーザーを RunAs ロールに変更します。

重要: Tivoli® Access Manager (TAM) が使用可能な場合、アプリケーションのデプロイメントおよび アンデプロイメントに時間がかかり、タイムアウトする可能性があります。ATCCache を使用不可にすると、この問題が解決されることがあります。ATCCache は、アプリケーションのデプロイメントおよびアンデプロイメント時にパフォーマンスを支援します。一部のアプリケーション、特にモジュールの数が多いアプリケーションでは、この領域のパフォーマンスによって、キャッシュが実際にマイナスの影響を受けることがあります。ATCCache を使用不可にするには、config/cells/cell_name ディレクトリーにナビゲートし、amwas.amjacc.template.properties ファイルを変更して com.tivoli.pd.as.atcc.ATCCache.enabled=false を設定します。組み込み TAM が既に構成されているため、そのプロパティーを使用して構成ファイルを更新します。セル内の各インスタンスについて、profiles/<profile_name>/etc/tam ディレクトリーに移動し、amjacc.properties で終わるすべてのファイルを、com.tivoli.pd.as.atcc.ATCCache.enabled=false を設定するように変更します。これらの変更を有効にするためには、セルを再始動する必要があります。

このタスクについて

アプリケーションをインストールするか、既存アプリケーションを変更するかにかかわらず、ステップは共通です。

アプリケーションをインストールおよびデプロイするには、以下のステップを実行します。

手順

  1. アプリケーション」>「新規アプリケーションのインストール」とクリックします。 セキュリティー・ロールをユーザーおよびグループにマップするステップが表示されるまで、必要なステップを実行します。
  2. [AIX Solaris HP-UX Linux Windows][IBM i]アプリケーションにロールが含まれている場合は、ユーザーおよびグループをロールに割り当てます。 インストール中、このステップで、「追加プロパティー」の下の「セキュリティー・ロールをユーザーおよびグループにマップ」をクリックします。詳しくは、ロールへのユーザーおよびグループの割り当てを参照してください。
  3. RunAs ロールがアプリケーションに存在している場合は、ユーザーを RunAs ロールに割り当てます。 インストール中、このステップで、「追加プロパティー」の下の「ユーザーへの RunAs ロールのマップ」をクリックします。詳しくは、RunAs ロールへのユーザーの割り当てを参照してください。
  4. オプション: 必要に応じて「システム ID の正しい使用」をクリックして、RunAs ロールを指定します。 アプリケーションで、代行がシステム ID を使用するように設定されている場合は、 このアクションを完了します。これは、エンタープライズ Bean にのみ適用されます。 システム ID は、WebSphere Application Server セキュリティー・サーバー ID を使用してダウンストリーム・メソッドを呼び出します。 システム ID の使用は推奨されませんが、それは、この ID が WebSphere Application Server の内部メソッドへのアクセスにおいて、他の ID より多くの特権を持っているためです。このタスクは、パネル内にリストされたメソッドが代行にシステム ID を セットアップされていることをデプロイヤーが認識し、必要に応じて それらを訂正するために提供されています。 internalServerId フィーチャーが使用される場合、システム ID を使用した runAs はサポートされません。ここで RunAs ロールを指定する必要があります。
  5. 残りの非セキュリティー関連ステップを完了して、 アプリケーションのインストールおよびデプロイを終了します。

次のタスク

セキュア・アプリケーションをデプロイした後、 正しいクレデンシャルを使用してアプリケーション内のリソースにアクセスできることを確認します。例えば、 保護された Web モジュールがアプリケーションにある場合は、 ロールに割り当てたユーザーのみがアプリケーションを使用できるようにします。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sdeplap
ファイル名:tsec_sdeplap.html