セキュア・バスにアクセスするためのバス使用可能 Web サービスのデフォルト構成

デフォルトでは、バス対応の Web サービス・コンポーネントは、セキュア・サービス統合バスにアクセスできます。 これはつまり、Web サービス・クライアントは、要求を行うときに適切なクレデンシャルを提供する場合には、バス・セキュリティーが有効であれば、バス対応 Web サービスを使用できるということです。 例えば、サービス統合リソース・アダプターがバスへのアクセスに使用する認証別名を定義することにより、デフォルト構成を変更またはオーバーライドできます。

注: バス・セキュリティーが使用可能な場合にバス対応 Web サービスを使用するには、要求を行う際に Web サービス・クライアントが適切なクレデンシャルを提供する必要があります。クライアントは、HTTP 基本認証による Web サービスの認証で説明されているとおり、WS-Security または HTTP 基本認証のいずれかを使用してクレデンシャルを提供できます。HTTP 基本認証の場合、アプリケーション・セキュリティーも使用可能にする必要があり、使用する認証スキームに応じて、エンドポイント・リスナー・アプリケーションは、パスワード保護インバウンド・サービスでの説明に従って適切に構成する必要があります。 HTTP 基本認証を使用する場合、AuthenticatedUsers ロールを特殊な "AllAuthenticatedUsers" グループ (または他の適切な認証グループあるいはユーザー) にマップする必要があります。WS-Security を使用する場合、エンドポイント・リスナー AuthenticatedUsers ロールは、アプリケーション・セキュリティーが使用可能でない限りマップする必要はありません。この場合には AuthenticatedUsers ロールを特殊な "Everyone" グループにマップします。 詳しくは、ロールへのユーザーおよびグループの割り当てを参照してください。
バス対応 Web サービス・コンポーネントがセキュア・バスにアクセスするために使用するデフォルト構成は以下のとおりです。
  • バスへの接続は、バス・コネクター・ロール によって構成されます。デフォルトで、各バス・コネクター・ロールにはサーバー と呼ばれるグループが含まれます。このグループのメンバーは、バスへの接続が許可されます。
  • サービス統合のリソース・アダプターは J2C アクティベーション・スペックを使用してバスと通信します。 デフォルトで、このアクティベーション・スペックのブール値のカスタム・プロパティー useServerSubject は「true」に設定されています。このプロパティーにより、サービス統合のリソース・アダプターはサーバー・グループのサブジェクト (メンバー) としてバスに接続できます。

バス・コネクター・ロールのサーバー・グループ

このグループは、ユーザーがバスに接続する権限があるかどうかを制御します。 サーバー・グループは、管理コンソールを使用して、追加または除去することが可能です。

サービス統合 ->「バス」 ->「security_value -> [許可ポリシー (Authorization Policy)]「バス・コネクター・ロールを持つユーザーおよびグループ (Users and groups in the bus connector role)」

このグループは、以下の wsadmin コマンド・スクリプトを使用して設定することもできます。

addGroupToBusConnectorRole
removeGroupFromBusConnectorRole

useServerSubject プロパティー

この boolean プロパティーは、インバウンド、アウトバウンド、またはゲートウェイ・サービスと関連する J2C アクティベーション・スペックのカスタム・プロパティー・パネルにあります。

リソース (Resources) ->「リソース・アダプター」 ->「J2C アクティベーション・スペック」 ->「activation_specification_name -> [追加プロパティー]「J2C アクティベーション・スペックのカスタム・プロパティー」

このプロパティーは、wsadmin コマンド・スクリプトを使用して設定することもできます。

デフォルト構成の使用不可化とオーバーライド

デフォルト構成を使用不可にするには、サーバー・グループを除去するのではなく、useServerSubject プロパティーを「false」に設定します。 サービス統合リソース・アダプターの他にも、サーバー・サブジェクトを使用するシステム・リソースがあるからです。 バス・コネクター・ロールからサーバー・グループを除去すると、どのシステム・リソースもサーバー・サブジェクトを使用できなくなります。

サービス統合リソース・アダプターがバスへのアクセスに使用する認証別名を定義することにより、デフォルト構成をオーバーライドすることもできます。 認証別名を使用しても、構成はこれ以上セキュアにはなりません。ただし、WebSphere Application Server バージョン 6.0.x で別のアプリケーション・サーバーが稼働している場合に別名を使用してアプローチの一貫性を保ったり、ID とパスワードの使用に関する社内業務管理を支援するために別名を使用する場合もあります。

認証別名を構成する場合、デフォルト構成も使用不可にする必要はありません。認証別名が存在している場合は、認証別名がデフォルト構成をオーバーライドします。 ただし、その後にアクティベーション・スペックから認証別名を削除する場合は、デフォルト構成によって再度制御を行い、サービス統合のリソース・アダプターに対してバスへのアクセス続行を許可します (可能な場合)。

以下の表は、さまざまなプロパティーの状態に応じて、サービス統合リソース・アダプターがセキュア・バスに接続できるかどうかを示しています。

表 1. セキュア・サービス統合バスにアクセスする際に予想される振る舞いの要約. この表の第 1 列は、セキュア・サービス統合バスが 有効な認証別名を持っているかどうかを必要に応じて「はい」または「いいえ」で示しています。 表の第 2 列は、useServerSubject プロパティーが選択されているかどうかを 必要に応じて「はい」または「いいえ」で示しています。第 3 列は、 サーバー・グループがバス・コネクター・ロールに追加されているかどうかを 必要に応じて「はい」または「いいえ」で示しています。第 4 列は、 最初の 3 つの列で指定された「はい」または「いいえ」の設定の各組み合わせに対して リソース・アダプターがバスに接続できるかどうかを 必要に応じて「はい」または「いいえ」で示しています。
有効な認証別名 useServerSubject バス・コネクター・ロールのサーバー・グループ リソース・アダプターが接続可能か
はい いいえ いいえ はい
いいえ はい はい はい
いいえ いいえ はい いいえ
いいえ いいえ いいえ いいえ
いいえ はい いいえ いいえ
はい はい はい はい (認証別名を使用して)

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rjw_security_defaults
ファイル名:rjw_security_defaults.html