認証のためのグローバル・シングル・サインオン・プリンシパル・マッピング

Tivoli® Access Manager の Java™ Authorization Contract for Containers (JACC) プロバイダーを使用して、WebSphere® Application Server セキュリティー・ドメイン内にある、データベース、トランザクション処理システム、メッセージ・キュー・システムなどのエンタープライズ情報システム (EIS) に対する認証を管理できます。このような認証は、Java Platform, Enterprise Edition (Java EE) コネクター・アーキテクチャー・リソース用の、グローバル・シングル・サインオン (GSO) プリンシパル・マッパー Java Authentication and Authorization Service (JAAS) ログイン・モジュールを使用して行われます。

GSO プリンシパル・マッピングで、特別な目的の JAAS ログイン・モジュールは、 サブジェクト・ヘッダーにクレデンシャルを挿入します。このクレデンシャルは、EIS への認証のため、リソース・アダプターにより使用されます。 使用される JAAS ログイン・モジュールは、接続ファクトリー毎ベースで構成されます。デフォルトの プリンシパル・マッピング・モジュールは、XML 構成ファイルからユーザー名およびパスワード情報を検索します。 Tivoli Access Manager の JACC プロバイダーは、Extensible Markup Language (XML) 構成ファイルに保管されているクレデンシャルを迂回し、代わりに Tivoli Access Manager グローバル・サインオン (GSO) データベースを使用して、EIS セキュリティー・ドメインの認証情報を提供します。

WebSphere Application Server は、ユーザーのクレデンシャルと EIS リソースを関連付ける、デフォルトのプリンシパル・マッピング・モジュールを提供します。デフォルトのマッピング・モジュールは、アプリケーション・ログイン・パネルの WebSphere Application Server 管理コンソールで定義されます。このパネルにアクセスするには、「セキュリティー」>「グローバル・セキュリティー」とクリックします。 「Java Authentication and Authorization Service」の下の「アプリケーション・ログイン」をクリックします。マッピング・モジュール名は DefaultPrincipalMapping です。

EIS セキュリティー・ドメインのユーザー ID およびパスワードは、authDataAlias 属性によって、各接続ファクトリーで定義されています。 authDataAlias 属性は、ユーザー名およびパスワードを含まず、 他で定義されているユーザー名およびパスワードのペアを参照するエイリアスを含んでいます。

Tivoli Access Manager プリンシパル・マッピング・モジュールは、authDataAlias 属性を使用して、Tivoli Access Manager GSO データベースで検索を実行するのに必要な GSO リソース名およびユーザー名を決定します。Tivoli Access Manager ポリシー・サーバーは、ユーザー・レジストリーから GSO データを検索します。

Tivoli Access Manager は、リソースとユーザー名のペアについて、Tivoli Access Manager GSO データベースで認証情報を保管します。

図 1. GSO プリンシパル・マッピング・アーキテクチャーGSO プリンシパル・マッピング・アーキテクチャーの要約

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_gso_principal_mapping
ファイル名:csec_gso_principal_mapping.html