JACC プロバイダーとしての Tivoli Access Manager の統合

Tivoli® Access Manager は、WebSphere® Application Server で Java™ Authorization Contract for Container (JACC) モデルを使用して、アクセス検査を行います。

Tivoli Access Manager は、以下のコンポーネントで構成されています。
  • ランタイム
  • クライアント構成
  • 許可テーブル・サポート
  • アクセス・チェック
  • PDLoginModule モジュールを使用した認証

ランタイム変更のため、Tivoli Access Manager には、JACC に必要な PolicyConfigurationFactory および PolicyConfiguration インターフェースが実装されています。 アプリケーションのインストール時に、デプロイメント記述子のセキュリティー・ポリシー情報およびバインディング・ファイル内の許可テーブル情報が、これらのインターフェースを使用して Tivoli プロバイダーに伝搬されます。 Tivoli プロバイダーは、それぞれの Tivoli Access Manager アプリケーション・プログラミング・インターフェース (API) を呼び出すことにより、ポリシーおよび許可テーブルの情報を Tivoli Access Manager ポリシー・サーバーに保管します。

また、Tivoli Access Manager には、RoleConfigurationFactory および RoleConfiguration インターフェースが実装されています。 これらのインターフェースを使用することにより、許可テーブル情報が、ポリシー情報とともにプロバイダーに確実に受け渡されます。 これらのインターフェースについて詳しくは、JACC をサポートするインターフェースを参照してください。

Tivoli Access Manager クライアントを構成するには、管理コンソールまたは wsadmin スクリプトのいずれかを使用できます。 Tivoli Access Manager クライアント構成用の管理コンソール・パネルにアクセスするには、「セキュリティー」>「グローバル・セキュリティー」>「外部許可プロバイダー」とクリックします。 「関連項目」の下の「外部 JACC プロバイダー」をクリックします。Tivoli クライアントは、Tivoli Access Manager JACC プロバイダーを使用するようセットアップする必要があります。

Tivoli Access Manager クライアントを構成する方法について詳しくは、Tivoli Access Manager JACC プロバイダー構成を参照してください。

Tivoli Access Manager は、RoleConfiguration インターフェースを使用して、アプリケーションがインストールまたはデプロイされるときに、許可テーブル情報を Tivoli Access Manager プロバイダーに確実に受け渡します。 アプリケーションがデプロイまたは編集される際、ユーザーまたはグループとロールの間のマッピングのための、ユーザーおよびグループのセットが、Tivoli Access Manager サーバーから取得されます。 このサーバーは、WebSphere Application Server と同じ Lightweight Directory Access Protocol (LDAP) サーバーを共有します。 この共有は、アプリケーション管理のユーザーまたはグループとロールの間の管理コンソール・パネルへのプラグインにより、実現されています。 WebSphere Application Server に構成された LDAP レジストリーに依存するのではなく、管理 API がユーザーおよびグループを取得するために呼ばれます。

ユーザーまたはグループからロールへのマッピングは、 アプリケーション・レベルであり、ノード・レベルではありません。

WebSphere Application Server が Tivoli Access Manager に対して JACC プロバイダーを使用するよう構成されている場合は、アクセスの決定が行えるよう、Tivoli Access Manager に情報が受け渡されます。Tivoli Access Manager ポリシーの実装では、アクセスの決定のため、アクセス・コントロール・リスト (ACL) データベースのローカル・レプリカを照会します。

WebSphere Application Server のカスタム・ログイン・モジュールで、認証を行うことができます。このログイン・モジュールは、WebSphere Application Server が提供するログイン・モジュールの前にプラグインされます。 カスタム・ログイン・モジュールは、サブジェクトに保管される情報を提供できます。 必要な情報が保管された場合は、その情報を取得するための余計なレジストリー呼び出しは行われません。

JACC 統合の一部として、Tivoli Access Manager が提供する PDLoginModule モジュールは、Lightweight Third Party Authentication (LTPA)、Kerberos (KRB5)、および Simple WebSphere Authentication Mechanism (SWAM) 認証について、WebSphere Application Server へのプラグインにも使用されます。PDLoginModule モジュールは、ユーザー ID またはパスワードで認証するよう変更されます。 このモジュールは、サブジェクト内の必要な属性を入力するためにも使用され、WebSphere Application Server のログイン・モジュールによりレジストリー呼び出しが行われないようにします。サブジェクト内にある情報は、Tivoli Access Manager ポリシー・オブジェクトが、アクセス検査に使用できます。
注: SWAM は、WebSphere Application Server バージョン 9.0 では非推奨であり、将来のリリースで削除される予定です。
注: Kerberos 認証メカニズムと Tivoli Access Manager を使用する場合、TAM loginModule は、最初に Tivoli Access Manager 認証プロセスを経由することなく、PDPrincipal を作成します。 また、Kerberos 認証メカニズムと Tivoli Access Manager を使用する場合、WebSphere Application Server バージョン 7.0 以降では Tivoli Access Manager ポリシーは適用されません。

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_jaccintegrate
ファイル名:csec_jaccintegrate.html