![[z/OS]](../images/ngzos.gif)
WebSphere Application Server for z/OS のセキュリティーに関する考慮事項
WebSphere Application Server for z/OS でサポートされる機能
WebSphere® Application Server for z/OS® は、以下の機能をサポートしています。
機能 | 追加情報 |
---|---|
RunAs EJB | 詳しくは、代行を参照してください。 |
サーブレット用 RunAs | 詳しくは、代行を参照してください。 |
SAF ベースの IIOP プロトコル | 詳しくは、Common Secure Interoperability バージョン 2 および Security Authentication Service (SAS) クライアント構成を参照してください。 |
z/OS コネクター機能 | 詳しくは、リソース・リカバリー・サービス (RRS)を参照してください。 |
管理セキュリティー | 詳しくは、管理セキュリティーを参照してください。 |
アプリケーション・セキュリティー | 詳しくは、アプリケーション・セキュリティーを参照してください。 |
Java 2 セキュリティー | 詳しくは、Java 2 セキュリティーを参照してください。 |
セキュリティーを使用不可にします | 詳しくは、管理セキュリティーの使用不可を参照してください。 |
SAF 鍵リング | 詳しくは、Java Secure Sockets Extension での System Authorization Facility 鍵リングの使用を参照してください。 |
認証機能 | 認証機能の例: 基本認証、SSL デジタル証明書、フォーム・ベースのログイン、 セキュリティー制約、トラスト・アソシエーション・インターセプター |
J2EE セキュリティー・リソース | 詳しくは、タスクの概要: リソースの保護を参照してください。 |
Web 認証 (LTPA) | 詳しくは、Lightweight Third Party Authentication メカニズムの構成を参照してください。 |
LTPA を使用する IIOP | 詳しくは、LTPA (Lightweight Third Party Authentication)を参照してください。 |
WebSphere アプリケーション・バインディング | WebSphere アプリケーション・バインディングを使用すると、ユーザーからロールへのマッピングが可能になります。 |
Synch to OS Thread | 詳しくは、Java スレッド ID とオペレーティング・システム・スレッド IDを参照してください。 |
SAF レジストリー | 詳しくは、レジストリーまたはリポジトリーの選択を参照してください。 |
ID アサーション | 詳しくは、 ID アサーションを参照してください。 |
認証プロトコル | 例: z/SAS、CSIV2 詳しくは、認証プロトコルのサポートを参照してください。 |
CSIv2 適合レベル "0" | 詳しくは、セキュリティー計画の概要を参照してください。 |
JAAS プログラミング・モデル WebSphere 拡張機能 | 詳しくは、Web 認証用の Java Authentication and Authorization Service プログラミング・モデルの使用を参照してください。 |
SAF を使用した分散 ID マッピング | 詳しくは、SAF を使用した分散 ID マッピングを参照してください。 |
基本 WebSphere Application Server にはすべて、以下の機能が備わっています。
- RunAs の使用: RunAs は、呼び出し元、サーバー、またはロールの ID を変更するために使用します。 この指定はサーブレット仕様に含まれるようになりました。
- SAF ベースの IIOP 認証プロトコルのサポート: WebSphere Application Server Network Deployment では、Internet Inter-ORB Protocol (IIOP) 認証に Secure Authentication Service (SAS) が使用されます。z/OS には、(同様の機能を持つがメカニズムが異なる) z/OS Secure Authentication Services (z/SAS) と呼ばれる SAS の独自のバージョンがあり、ローカル・セキュリティー、Secure Sockets Layer (SSL) ベースの許可、System Authorization Facility (SAF) マッピングによるデジタル証明書、および SAF ID アサーションなどの機能を扱います。重要: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
- SAF ベースの許可および RunAs 機能: 許可および代行セキュリティー情報の SAF (EJBROLE) プロファイルを使用します。
- z/OS コネクター機能のサポート: ユーザー ID およびパスワードを保管する際に別名を使用する代わりに、 ローカル OS ID を伝搬する機能がサポートされています。
- HTTP および IIOP の SAF 鍵リング・サポート: HTTP、IIOP、 および SAF 鍵リング・サポートで SystemSSL を使用します。JSSE を使用することもできます。
- 認証機能: 基本認証、SSL デジタル証明書、フォーム・ベースのログイン、セキュリティー制約、 トラスト・アソシエーション・インターセプターなどの Web 認証メカニズムは、 バージョン 5 で提供していたのと同じ機能を、バージョン 9.0 で提供しています。
- J2EE リソースの許可: Java 2 Platform, Enterprise Edition (J2EE) リソースの許可はバージョン 4 で使用されているロールと同様のロールを使用し、 これらのロールはディスクリプターとして使用されます。
- セキュリティーの使用可能化: セキュリティーは、 グローバルに使用可能とすることも使用不可とすることもできます。 サーバーの起動時にあるレベルのセキュリティーが設定されますが、 管理者がセットアップするまでは使用不可の状態です。
- LTPA および SWAM による Web 認証: Lightweight Third Party Authentication (LTPA)、または Simple WebSphere Authentication Mechanism (SWAM) によるシングル・サインオンがサポートされています。
注: SWAM は、WebSphere Application Server バージョン 9.0 では非推奨であり、将来のリリースで削除される予定です。
- LTPA による IIOP 認証: LTPA による IIOP 認証がサポートされています。
- WebSphere Application Bindings for Authorization: WebSphere Application Bindings for Authorization がサポートされるようになりました。
- Synch to OS Thread: Application Synch to OS Thread がサポートされています。
- J2EE ロール・ベース・ネーミング・セキュリティー: 名前空間へのアクセスを保護するのに J2EE ロールが使用されます。 新規のロールとタスクは cosNamingRead、cosNamingWrite、cosNamingCreate、および cosNamingDelete です。
- ロール・ベースの管理セキュリティー: セキュリティーを区切るロールには以下があります。
- モニター (許可が最も少なく、読み取り専用)
- オペレーター (ランタイム変更の実行が可能)
- コンフィギュレーター (特権のモニターおよび構成が可能)
- 管理者 (ほとんどの許可)
- デプロイヤー (アプリケーションでの構成アクションおよびランタイム操作用に 、wsadmin で使用されます)
- Adminsecuritymanager (ユーザーを管理ロールにマップし、許可グループを管理できます)
管理ロールについて詳しくは、管理ロールを参照してください。
WebSphere Application Server for z/OS と 他の WebSphere Application Server プラットフォームとの比較
主要な
類似点:
- プラグ可能セキュリティー・モデル: プラグ可能セキュリティー・モデルは、IIOP Common Secure Interoperability Version 2 (CSIv2)、Web Trust Authentication、Java Management Extensions (JMX) コネクター、または Java Authentication and Authorization Service (JAAS) プログラミング・モデルで認証できます。
以下のことを行う必要があります。
- 該当のレジストリーと必要な認証 (トークン) メカニズムを決定します。
- レジストリーがローカルかリモートか、さらにどの Web 許可 (Simple WebSphere authentication mechanism (SWAM)、および Lightweight Third-Party Authentication (LTPA)) を使用すべきかを決定します。
注: SWAM は、WebSphere Application Server バージョン 9.0 では非推奨であり、将来のリリースで削除される予定です。
主な相違点は以下のとおりです。
- SAF レジストリー: ローカル・オペレーティング・システム・レジストリーは、z/OS では優れた機能を提供します。 これは、z/OS が単一サーバーではなくシスプレックス全体にまたがるためです。 z/OS は、証明書からユーザーへのマッピング、許可、および代行機能を提供します。
- ID アサーション: 表明を行うサーバーに必要な許可を得るには、 トラステッド・サーバーまたは CBIND を使用します。 分散プラットフォームでは、 トラステッド・サーバー・リストにサーバーを配置する必要があります。 z/OS では、サーバー ID に特定の CBIND 許可が必要です。 表明の種類には、SAF ユーザー ID、識別名 (DN)、 および SSL クライアント証明書があります。
- IIOP クライアント用の zSAS と SAS の認証プロトコル: z/SAS は、RACF® PassTicket をサポートするという点で SAS とは異なります。 WebSphere Distributed の SAS 層は、Common Object Request Broker Architecture (CORBA) ポータブル・インターセプターを使用してセキュア・アソシエーション・サービスを実装しますが、z/OS は異なります。
- CORBA フィーチャー: z/OS では、CORBA セキュリティー・インターフェースはサポートされていません。
これには、現行 CORBA、LoginHelper、クレデンシャル、および ServerSideAuthenticator の各モデルが含まれます。
CORBA 機能は JAAS にマイグレーション済みです。
LoginHelp アプリケーション・プログラミング・インターフェース (API) は、 WebSphere Application Server バージョン 9.0 では推奨されません。 詳しくは、Common Object Request Broker Architecture (CORBA) プログラマチック・ログインの Java Authentication and Authorization Service (JAAS) へのマイグレーションを参照してください。
- 認証プロトコル: CSIv2 は、z/OS Security Server のオブジェクト管理グループ (OMG) 仕様で、WebSphere セキュリティーが使用可能になると自動的に使用可能になります。 これは、3 層のアプローチで、メッセージ保護のための Secure Sockets Layer Transport Layer Security (SSL/TLS)、ユーザー ID およびパスワードの補足クライアント認証層である Generic Security Services Username Password (GSSUP)、および ID アサーションに中間サーバー (ターゲット・サーバーに対して特に許可を得る必要があるもの) で使用するセキュリティー属性層から成ります。
J2EE 1.3 準拠
J2EE に準拠させるには、以下のことが必要です。
- CSIv2 適合レベル「0」: これはオブジェクト管理グループ (OMG) (z/OS Security Server に関連) の仕様で、以前の CORBA サポートの一部です。 セキュリティーを使用可能にすると、CSIv2 も自動的に使用可能になります。
- Java 2 セキュリティーの使用:「セキュリティー使用可能」と「Java 2 セキュリティー使用可能」があり、Java 2 のデフォルトは「オン」です。これには、 サブジェクト・ベースの許可とは反対のコード・ベースの許可である、 きめ細かいアクセス制御が用意されています。 各クラスともある特定のドメインに属します。 Java 2 セキュリティーによって保護される許可には、ファイル・アクセス、ネットワーク・アクセス、ソケット、既存の Java 仮想マシン (JVM)、プロパティーの管理、およびスレッドがあります。 セキュリティー・マネージャーは、セキュリティーの管理および必要な保護の実行を行うメカニズムとして Java 2 で使用します。 Java 2 セキュリティーの拡張機能としては、動的ポリシー (コード・ベースではなくリソース・タイプ・ベースの許可) の使用、テンプレート・プロファイルのリソースに定義されている特定のデフォルト許可の使用、およびポリシーを使用不可にするためのフィルター・ファイルの使用があります。
- JAAS プログラミングの使用: JAAS プログラミングには、認証用の API の標準セットが組み込まれています。 JAAS は、戦略的な許可および認証メカニズムです。 IBM® Developer Kit for Java Technology Edition バージョン 5 は、WebSphere バージョン バージョン 9.0 と共に出荷されていますが、一部の拡張機能が提供されています。
- サーブレット RunAs 機能の使用: 分散プラットフォーム z/OS プラットフォームは除く) 上の (WebSphere Application Server では、 この機能を代行ポリシー と呼びます。システム、呼び出し元、またはロール (ユーザー) として実行するように ID を変更できます。 この機能はサーブレット仕様に含まれるようになりました。 認証では、ユーザー ID およびパスワードを使用し、 次に、該当する XML ファイルまたは EJBROLE への別名のマッピングを行い、RunAs ロールのユーザー ID を検出します。
API/SPI レベルにおける WebSphere Application Server Network Deployment への対応
アプリケーション・プログラミング・インターフェースまたは Service Provider Programming Interface (API/SPI) のレベルで、WebSphere Application Server Network Deployment に準拠することにより、 z/OS 上での WebSphere Application Server Network Deployment からアプリケーションのデプロイを、より簡単に行うことができます。
WebSphere Application Server Network Deployment によって拡張されるか、
推奨されないフィーチャーは、z/OS でも拡張されるか、推奨されません。
ただし、これは、z/OS のカスタマーがマイグレーションを実行しないということではありません。
API/SPI レベルにおける WebSphere WebSphere Application Server Network Deployment への準拠は、以下のとおりです。
- JAAS プログラミング・モデルに対する WebSphere Application Server 拡張: 許可モデルは、JAAS プログラミングの Java 2 セキュリティー・モデルを拡張したものです (したがって、J2EE モデルで実行されます)。サブジェクト・ベースの許可は、認証済みのユーザー ID で実行されます。 単にユーザー ID とパスワードを使用してログインする代わりに、 ログイン・プロセスが用意されました。 これにより、ログイン・コンテキストを作成し、 ユーザー ID およびパスワードに対してプロンプトを出すコールバック・ハンドラーを渡して、 ログインします。 WebSphere Application Server for z/OS は、ログイン・モジュール、必要なデータを検索するためのコールバック・ハンドラー、コールバック、WSSubject 選択、getCallerSubject、および getRunAsSubject を提供します。
- WebSphere Application Server セキュリティー API の 使用: z/OS は WebSphere Application Server セキュリティー API を サポートします。
- セキュアな JMX コネクターの使用: JMX コネクターは、 ユーザー ID とパスワード・クレデンシャルを用いて使用することができます。 コネクターには RMI と SOAP/HTTPS の 2 種類があります (これらは管理用です)。 SOAP コネクターは、JSSE SSL リポジトリーを使用します。 RMI コネクターには、 IIOP メカニズム (CSIv2 など) と同じ利点および制約事項があります。