WebSphere Application Server 用 Tivoli Access Manager セキュリティー

WebSphere® Application Server は、 組み込み IBM® Tivoli® Access Manager クライアント・テクノロジーを提供し、WebSphere Application Server 管理対象リソースを保護します。

以下に説明されている Tivoli Access Manager を使用する際の利点は、Tivoli Access Manager クライアント・コードが Tivoli Access Manager サーバーで使用されている場合にのみ適用されます。
  • 耐久力のあるコンテナー・ベースの許可
  • 集中ポリシー管理
  • 共通 ID、ユーザー・プロファイル、および許可メカニズムの管理
  • Tivoli Access Manager Web Portal Manager の管理コンソールを使用して、 Java™ Platform, Enterprise Edition (Java EE) 準拠および非準拠の Java EE リソースのセキュリティーを一元的に管理
  • アプリケーションのコーディングまたはデプロイメントの変更が不要
  • WebSphere Application Server 管理コンソールを使用した、ユーザー、 グループ、およびロールの簡単な管理

WebSphere Application Server は Java Authorization Contract for Containers (JACC) 仕様をサポートします。JACC には Java EE コンテナーおよび許可プロバイダーの契約要件が詳述されています。この契約では、許可プロバイダーは、WebSphere Application Server などの Java EE アプリケーション・サーバーでリソースに対するアクセス決定を、 実行することができます。WebSphere Application Server に組み込まれている Tivoli Access Manager セキュリティー・ユーティリティーは、 JACC に準拠し、以下のために使用されます。

アプリケーションがデプロイされると、組み込み Tivoli Access Manager クライアントは、アプリケーション・デプロイメント記述子に保管されているか、アノテーションを使用して保管されているポリシーやユーザーおよびロール情報を取り出し、Tivoli Access Manager ポリシー・サーバーに保管します。

WebSphere Application Server によって管理されるリソースへのアクセスをユーザーが要求すると、Tivoli Access Manager JACC プロバイダーも呼び出されます。

図 1. 組み込み Tivoli Access Manager クライアント・アーキテクチャーこの図は、次のイベント・シーケンスを示しています。
前の図は、次の一連のイベントを示しています。
  1. 保護リソースにアクセスするユーザーは、 組み込み Tivoli Access Manager クライアントが使用可能な場合に使用するよう構成された、Tivoli Access Manager ログイン・モジュールを使用して認証されます。
  2. WebSphere Application Server コンテナーは、Java EE アプリケーション・デプロイメント記述子およびアノテーションからの情報を使用し、 必要なロール・メンバーシップを決定します。
  3. WebSphere Application Server は組み込み Tivoli Access Manager クライアントを使用して、Tivoli Access Manager 許可サーバーからの許可決定を要求します。 さらなるコンテキスト情報がある場合も、許可サーバーに渡されます。 このコンテキスト情報は、セル名、Java EE アプリケーション名、および Java EE モジュール名から構成されます。任意のコンテキスト情報用に指定されたポリシーが Tivoli Access Manager ポリシー・データベースにある場合、許可サーバーはこの情報を使用して、許可決定を行います。
  4. 許可サーバーは、Tivoli Access Manager で保護されたオブジェクト・スペース内の、指定のユーザー用に定義された許可を調べます。プロテクト・オブジェクト・スペースはポリシー・データベースの一部です。
  5. Tivoli Access Manager 許可サーバーは、組み込み Tivoli Access Manager クライアントにアクセス決定を戻します。
  6. WebSphere Application Server は、Tivoli Access Manager 許可サーバーから戻された決定に基づいて、保護されたメソッドまたはリソースへのアクセスを認可または拒否します。
Tivoli Access Manager は、その中核となる 認証および許可フレームワークを提供します。製品資料を参照すると、デプロイメントについての決定を行うために必要な情報など、Tivoli Access Manager についてさ らに学習できます。以下のガイドは、IBM Tivoli Access Manager for e-business インフォメーション・センターで入手できます。
  • IBM Tivoli Access Manager for e-business インストール・ガイド (IBM Tivoli Access Manager for e-business Installation Guide)

    このガイドでは、Tivoli Access Manager セキュア・ドメインの計画、インストール、および構成方法について説明します。一連の簡単なインストール・スクリプトを使用することで、完全に機能するセキュア・ドメインを素早くデプロイできます。 これらのスクリプトは、セキュア・ドメインのデプロイメントをプロトタイピングする際に非常に便利です。

    IBM Tivoli Access Manager for e-business インフォメーション・センターにあるこのガイドにアクセスするには、「Access Manager for e-business」>「Installation and upgrade information」>「Installation Guide」とクリックしてください。

  • IBM Tivoli Access Manager for e-business 管理ガイド (IBM Tivoli Access Manager for e-business Administration Guide)

    この資料は、 保護リソースを管理する Tivoli Access Manager セキュリティー・モデルの概要を示します。このガイドでは、アクセス・コントロール決定を行う Tivoli Access Manager サーバーの構成方法について説明します。さらに、 詳細な説明で、セキュリティー・ポリシーの宣言、保護オブジェクト・スペースの定義、およびユーザーと グループ・プロファイルの管理などの重要なタスクの実行方法を説明します。

    IBM Tivoli Access Manager for e-business インフォメーション・センターにある このガイドにアクセスするには、「Access Manager for e-business」>「Administration Information」>「Administration Guide」とクリックしてください。

図 2. Tivoli Access Manager が複数サーバーを集中管理Tivoli Access Manager によって保護されている WebSphere Application Servers を示しているアーキテクチャーの例

上図は、Tivoli Access Manager によって保護される複数の WebSphere Application Server を示したアーキテクチャーの例です。

参加している WebSphere Application Server は、Tivoli Access Manager ポリシー・データベースのローカル・レプリカを使用し、入力される要求に対する許可の決定を行います。ローカルのポリシー・データベースは、 マスター・ポリシー・データベースのレプリカです。 マスター・ポリシー・データベースは、 Tivoli Access Manager のインストール・システムの一部として インストールされています。参加している WebSphere Application Server ノードのそれぞれでポリシー・データベースのレプリカを持つことにより、 許可の決定を行う場合のパフォーマンスが最適化され、さらに、フェイルオーバーの機能が提供されます。

WebSphere Application Server と同じシステム上に許可サーバーをインストールすることもできますが、 この構成はダイアグラムには示されていません。

このアーキテクチャーの例では、Tivoli Access Manager および WebSphere Application Server のすべてのインスタンスは、 マシン E 上の Lightweight Directory Access Protocol (LDAP) ユーザー・レジストリーを共有しています。

WebSphere Application Server でサポートされている LDAP レジストリーは、Tivoli Access Manager でもサポートされています。

異なる Tivoli Access Manager サーバーに対して構成された同一のホストに、別々の WebSphere Application Server プロファイルを置くことも可能です。そのようなアーキテクチャーでは、複数のプロファイ ルを別々の Java SE Runtime Environments (JRE 6) に対して構成する必要があるため、複数の JRE を同一のホストにイ ンストールする必要があります。
[IBM i]注: 同一ホスト上のすべての WebSphere Application Server プロファイルは、単一の JRE 6 を共有しますが、異なる Tivoli Access Manager サーバーに対して、 同一ホスト上に別々の WebSphere Application Server プロファイルを構成することができます。

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_TAM_security
ファイル名:csec_TAM_security.html