WebSphere Application Server セキュリティーを使用するための UDDI レジストリーの構成
UDDI レジストリーを構成して、ユーザーに対してサービスへのアクセスを許可するかどうかを決定したり、 トランスポート・レベルでデータのセキュリティーを決定したりすることができます。
始める前に
- WebSphere® Application Server 管理セキュリティーが使用可能になっている必要があります。詳しくは、 セキュリティーの使用可能化についてのトピックを参照してください。
- HyperText Transport Protocol Secure Sockets Layer (HTTPS) を使用するように WebSphere Application Server を構成して、UDDI レジストリーでセキュア・アクセスがサポートされるようにする必要があります。 デフォルトでは、WebSphere Application Server は、 ポート 9443 で Secure Sockets Layer (SSL) 要求を受け取るように構成されています。 SSL 構成をさらに変更するには、選択した有効範囲の SSL 構成についてのトピックを参照してください。
このタスクについて
UDDI レジストリーは、WebSphere Application Server セキュリティーの以下の 2 つの側面を使用します。
- 許可
- 許可は、ユーザーがサービスへのアクセスを許されるかどうかを決定します。 WebSphere Application Server は、 ユーザー、またはユーザーのグループをロールにマップすることによって許可を判別します。 UDDI は、WebSphere Application Server の 2 つの特別な対象、つまり、Everyone (全ユーザーがアクセスを許可される) と、 AllAuthenticatedUsers (有効な WebSphere Application Server 登録ユーザーのみがアクセスを許可される) を使用します。
- データの機密性
- データの機密性は、転送レベルのセキュリティーを決定します。WebSphere Application Server サービスのデータの機密性は、 なし (転送プロトコルとして HTTP が使用される) か、機密 (SSL の使用が要求され、転送プロトコルとして HTTPS が使用される) のいずれかになります。
WebSphere Application Server セキュリティーが使用可能になっている場合、UDDI バージョン 3 アプリケーションと Web デプロイメント記述子のデフォルト設定により、次のような結果になります。
- パブリッシュ、保有転送、およびセキュリティーの各サービスは AllAuthenticatedUsers の特別な対象にマップされ、 データの機密性が HTTPS により強化されます。 認証には標準の WebSphere Application Server セキュリティー機能が使用され、UDDI レジストリーには個別の登録機能はありません。 パブリッシュ機能を使用するには、 ユーザーが WebSphere Application Server のユーザー名とパスワードを入力する必要があり (提供されているパブリッシュ・ロールが変更されていない場合)、 また、登録済みの UDDI パブリッシャーでなければなりません。 ユーザーを UDDI パブリッシャーとして登録することによって、AllAuthenticatedUsers 対象内のどのユーザーに UDDI レジストリーの更新を許可するかを制御します。
- 照会サービスは Everyone の特別な対象にマップされ、 データの機密性は強化されず、HTTP が使用されます。 照会サービスを使用する場合、ユーザーは、ユーザー名またはパスワードを入力する必要がなく、 登録済み UDDI パブリッシャーである必要もありません。
前述のようなデフォルト設定を使用できます。 デフォルトを変更するには、異なるユーザーまたはユーザー・グループにロールをマップします。 これを行う場合は、UDDI ノード設定の「UDDI パブリッシャーを自動的に登録」プロパティーを使用可能にすると、 ユーザーのサブセットにアクセス権限を与えるためのメカニズムを 2 つも使用する必要がなくなります。 どのユーザーまたはユーザー・グループにもマップされていないロールがある場合、 そのロールに対するアクセス権限はすべて使用不可になります。
UDDI ロールのマッピングについての詳細、 および UDDI レジストリー・サービスとロールのリストについては、UDDI レジストリー・インターフェースのアクセス制御についてのトピックを参照してください。
デフォルト設定を変更するには、以下のステップを実行します。