認証メカニズムの選択
認証メカニズム は、セキュリティー情報に関するルール (クレデンシャルが別の Java™ プロセスに転送可能かどうかなど) や、クレデンシャルとトークンの両方におけるセキュリティー情報の保管方法のフォーマットを定義します。 認証メカニズムは、管理コンソールを使用して選択および構成できます。
このタスクについて
認証 は、クライアントが特定のコンテキストにおいて、 主張する本人または物であるかという、本人性を確立するプロセスです。 クライアントは、ユーザー、マシン、アプリケーションのいずれかです。一般的に、WebSphere® Application Server の認証メカニズムは、ユーザー・レジストリー と密接に関係しています。ユーザー・レジストリーはユーザーおよびグループのアカウントのリポジトリーで、 認証の実行時に認証メカニズムによって使用されます。 認証メカニズムは、 正常に認証されたクライアント・ユーザーの内部製品表記であるクレデンシャル の作成を担当します。 すべてのクレデンシャルが同等に作成されるわけではありません。 クレデンシャルの能力は、構成される認証メカニズムで決まります。
WebSphere Application Server は、3 つの認証メカニズム、Lightweight Third Party Authentication (LTPA)、Kerberos、および RSA トークン認証メカニズムを提供します。
認証メカニズムとしての Kerberos のセキュリティー・サポートが、WebSphere Application Server の本リリースで追加されています。Kerberos (KRB5) は、成熟度が高く、柔軟かつオープンで、非常にセキュアなネットワーク認証プロトコルです。Kerberos には、認証、相互認証、メッセージの保全性、機密性、および委任の機能が含まれています。 KRB5 は、Kerberos 用として、管理コンソール、sas.client.props、soap.client.props、および ipc.client.props のファイルで使用されます。
RSA トークン認証メカニズムは、本リリースの WebSphere Application Server で新たに導入されています。このメカニズムは、基本プロファイル構成を セキュリティーの観点から分離して保持するという、柔軟な管理目的を支援します。 このメカニズムによって、管理エージェントが管理している基本プロファイルは、異なる Lightweight Third-Party Authentication (LTPA) 鍵、異なるユーザー・レジストリー、および異なる管理ユーザーを持つことができます。
認証が必要なのは、エンタープライズ Bean クライアントと Web クライアントが保護リソースにアクセスする場合です。 サーブレットまたはその他のエンタープライズ Bean または純粋なクライアントなどの エンタープライズ Bean クライアントは、 以下のプロトコルの 1 つを使用して、Web アプリケーション・サーバーに認証情報を送信します。
- Common Secure Interoperability Version 2 (CSIv2)
Secure Authentication Service (SAS)
注: SAS がサポートされるのは、 バージョン 6.1 セルに統合されたバージョン 6.0.x と、 それより前のバージョンの間のサーバーに限られます。z/OS® Secure Authentication Service (z/SAS)
注: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
Web クライアントは、HTTP または HTTPS プロトコルを使用して認証情報を送信します。
認証情報は、基本認証 (ユーザー ID およびパスワード)、証明書トークン、またはクライアント証明書です。 Web 認証は、Web 認証モジュールによって行われます。
- URI が保護されている場合にのみ認証する
- 保護された Uniform Resource Identifier (URI) にアクセスする場合に限り、Web クライアントが認証 ID を取り出すことができることを指定します。Web クライアントが J2EE ロールで保護された URI にアクセスする場合に、WebSphere Application Server は、Web クライアントに認証データの提供を要求します。 このデフォルト・オプションは、前のバージョンの WebSphere Application Server でも使用可能です。
- 無保護の URI へのアクセス時に使用可能な認証データを使用する
- Web クライアントが getRemoteUser、isUserInRole、および getUserPrincipal メソッドを呼び出して、保護または無保護 URI から認証済み ID を取り出すことを許可されることを指定します。認証データは、無保護 URI にアクセスする場合には使用されませんが、 その認証データは将来使用するために保存されます。 このオプションは、「Authentication only when the URI is protected」チェック・ボックスを選択した場合に使用可能です。
- すべての URI へのアクセス時に認証する
- Web クライアントは URI が保護されているかどうかに関係なく、認証データを提供する必要があることを指定します。
- HTTPS クライアントの証明書認証が失敗したときに基本認証をデフォルトとして使用する。
- 要求された HTTPS クライアント証明書の認証に失敗したときに、WebSphere Application Server が Web クライアントにユーザー ID とパスワードを要求することを指定します。
エンタープライズ Bean 認証は、Enterprise JavaBeans (EJB) 認証モジュールによって実行されます。
EJB 認証モジュールは CSIv2 レイヤーおよび SAS レイヤー内にあります。
EJB 認証モジュールは CSIv2 レイヤーおよび z/SAS レイヤー内にあります。
認証モジュールは、Java Authentication and Authorization Service (JAAS) ログイン・モジュールを使用して実装されます。Web オーセンティケーターおよび EJB オーセンティケーターは、ログイン・モジュールに認証データを渡し、これによりデータを認証するために 以下のメカニズムを使用することができます。
- Kerberos
- LTPA
- RSA トークン
Simple WebSphere Authentication Mechanism (SWAM)
注: SWAM は WebSphere Application Server バージョン 6.1 では推奨されません。また将来のリリースでは除去される予定です。
- 統合リポジトリー
- ローカル・オペレーティング・システム
- スタンドアロン Lightweight Directory Access Protocol (LDAP) レジストリー
- スタンドアロン・ カスタム・ レジストリー
ローカル・オペレーティング・システムまたは LDAP レジストリーのどちらかのレジストリーの代わりに、IBM® が指定するレジストリー・インターフェースに従う外部レジストリーの実装を使用することができます。
ログイン・モジュールは、認証後に JAAS サブジェクトを作成し、 このサブジェクトの公開クレデンシャル・リストに、認証データから派生したクレデンシャルを保管します。 クレデンシャルは、Web オーセンティケーターまたはエンタープライズ Bean オーセンティケーターに戻されます。
Web オーセンティケーターおよびエンタープライズ Bean オーセンティケーターは、受け取ったクレデンシャルを、
現在許可サービスが詳細なアクセス制御検査の実行に使用しているオブジェクト・リクエスト・ブローカー (ORB) に保管します。
クレデンシャルが転送できる場合は、
他のアプリケーション・サーバーに送信されます。
Web オーセンティケーターおよびエンタープライズ Bean
オーセンティケーターは、受け取ったクレデンシャルを、許可サービスが詳細なアクセス制御検査を実行する際
に使用するために保管します。
認証メカニズムは、管理コンソールで以下のようにして構成することができます。
手順
- 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「認証メカニズムおよび有効期限」で、構成する認証メカニズムを選択します。