代行

代行 とは、セキュリティー ID を呼び出し元から呼び出されるオブジェクトに伝搬するプロセスです。 Java™ Platform, Enterprise Edition (Java EE) 仕様により、サーブレットとエンタープライズ Bean は、エンタープライズ Bean を呼び出す際にクライアントまたはリモート・ユーザーの ID を伝搬することも、あるいは対応するデプロイメント記述子で指定された別の指定 ID を使用することもできます。

拡張機能は、他のエンティティー Bean を呼び出す際に、サーバー ID への エンタープライズ Bean の伝搬をサポート します。 次の 3 つのタイプの代行が使用可能です。
  • クライアント ID の代行 (RunAs)
  • 指定 ID の代行 (RunAs)
  • システム ID の代行 (RunAs)
クライアント ID の代行 (RunAs)
指定 ID の代行 (RunAs)
システム ID の代行 (RunAs)
注: RunAs システム ID 代行は、 サーバー ID とパスワードが使用される場合にのみ機能します。 internalServerId 機能が使用された場合、システム ID を指定した runAs の実行はサポートされていないため、これは機能しません。 RunAs ロールを指定する必要があります。 internalServerID を使用する場合は、RunAsSpecified に、管理者ロールにマップされたユーザー ID とパスワードを指定して使用します。 internalServerId について詳しくは、管理ロールとネーミング・サービスの許可を参照してください。

EJB 仕様では、Enterprise JavaBeans (EJB) レベルでの代行 (RunAs) のみがサポートされています。 ただし、拡張機能は、EJB メソッド・レベルの RunAs 仕様を許可します。EJB メソッド・レベルの RunAs 仕様により、 同一の エンタープライズ Bean 内の別のメソッドに、異なる RunAs ロールを指定することが可能です。

RunAs 仕様は、 デプロイメント記述子 (EJB モジュールでは ejb-jar.xml ファイル、Web モジュールでは web.xml ファイル) で詳述されています。RunAs 仕様の拡張は ibm-ejb-jar-ext.xml ファイルに含まれています。

RunAs ロールからユーザーへの マッピングが入っているアプリケーションごとに、IBM 固有のバインディング・ファイルも使用可能です。 このファイルは ibm-application-bnd.xml ファイルで指定しています。

以上の指定は、 アプリケーションの開始中にランタイムが読み取ります。 次の図は、WebSphere Application Server セキュリティー・モデルに実装された代行メカニズムを示しています。
次の図は、WebSphere Application Server セキュリティー・モデルに実装された代行メカニズムを示しています。

代行プロセス

2 つの表が代行プロセスに役立ちます。
  • Resource to RunAs Role マッピング表
  • RunAs Role to User ID and Password マッピング表

Resource to RunAs Role マッピング表は、 サーブレットまたはエンタープライズ Bean が次のエンタープライズ Bean 呼び出しに伝える場合に使用するロールを取得するために使用します。

RunAsRole to user ID and password マッピング表は、 RunAs ロールに所属するユーザー ID とそのパスワードを取得するために使用します。

代行は、認証と許可が正常に終了した後に実行されます。 このプロセスで、代行モジュールは、RunAs ロールを取得するために Resource to RunAs Role マッピング表を調べます (3)。 代行モジュールは、RunAs ロールに属するユーザーを取得するために、 RunAs Role to User ID and Password マッピング表を調べます (4)。認証モジュール (この図にはありません) を使用して、 ユーザー ID とパスワードによって新規のクレデンシャルが作成されます。

[AIX Solaris HP-UX Linux Windows][IBM i]作成されたクレデンシャルは、呼び出しクレデンシャルとしてオブジェクト・リクエスト・ブローカー (ORB) Current® に保管されます (5)。 サーブレットとエンタープライズ Bean は、別のエンタープライズ Bean を呼び出すとき、ORB Current から呼び出しクレデンシャルを取り出して (6)、次のエンタープライズ Bean を呼び出します (7)。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_deleg
ファイル名:csec_deleg.html