WSCredential および Virtual member manager のアクセス制御

WebSphere Application Server の認証プロセスは、javax.security.auth.login.LoginContext で定義されたメカニズムに基づいています。この認証プロセスで、WebSphere Application Server は javax.security.auth.spi.LoginModule SPI インターフェースを 実装するログイン・モジュールを提供します。ログイン・モジュールは、ログイン・プリンシパルを認証する責任を 負います。

WebSphere Application Server LoginModule は、javax.security.auth.login.Configuration Java クラスで構成され、WebSphere Application Server 定義の名前 WSLogin を持ちます。認証プロセスを開始するために、新しい javax.security.auth.login.LoginContext オブジェクトが LoginModule 名 WSLogin でインスタンス化されます。指定されたこの名前で WebSphere Application Server LoginModule が呼び出されて、ログイン・プリンシパルを認証するためにユーザー・レジストリー API を 呼び出します。WebSphere Application Server LoginModule は、ID およびグループ・メンバーシップが Trust Authority Interceptor (TAI) の一部として既に提供されている場合には、ユーザー・レジストリーの呼び出しをバイパスすることができます。サブジェクトの固有 ID は、そのサブジェクトの WSCredential に保管されます。 Virtual member manager のインスタンス・ベースのアクセス制御は、 役割のマッピングおよびルール・ベースのアクセスを決定するための、 プリンシパルおよびグループ・メンバーシップ固有の ID に依存します。ID は以下のソースから得ることができます。

認証ルール

Virtual member manager は、ログイン・アカウントを管理するだけでなく、 ユーザーを認証するためのユーザー・レジストリー・インターフェースも提供するので、Virtual member manager はユーザーをサブジェクトとリソースの両方として見ます。 Virtual member manager のインスタンス・ベースのアクセス制御エンジンによって、 認証されたサブジェクトは Virtual member manager のリソースへのアクセスを許可されます。 場合によっては、サブジェクトとリソースが同じであることがあります。 以下は、セルフケア・パスワード・ルールの一例です。

この ルールは、Virtual member manager が WebSphere Application Server の認証用ユーザー・レジストリーとして構成されていることを想定しています。 しかし、Virtual member manager の ID を使用しない他の認証形式 (CUR、LDAP UR、TAI プラグイン) を使用することができます。 この場合に、Virtual member manager の認証方式以外で同じリポジトリーが Virtual member manager リポジトリーとして Virtual member manager の下に構成されていると、 サブジェクトのビルドに使用されたアカウント・オブジェクトは Virtual member manager に知られます。

Virtual member manager のアクセス制御ポリシーが Virtual member manager の認証プラットフォーム以外からの ID でビルドされている場合には、Virtual member manager の役割ベースのアクセス制御は機能しますが、Person または Account オブジェクトに関係したルール・ベースのアクセス制御に許可は与えられません。

プリンシパル用の Virtual member manager 対応 ID が WSCredential で使用されている場合には、Virtual member manager のリソースがサブジェクトとして含まれているルール・ベースの条件付き許可 (例えば、サブジェクトが所有者であるか、サブジェクトがマネージャーである場合) が認可されます。 Virtual member manager のリソースへのルール・ベースのアクセスを使用できるのは、以下の条件がすべて存在する場合のみです。
  • Virtual member manager がユーザー・レジストリーまたは代替ユーザー・レジストリーとして構成されている。
  • Virtual member manager が同じ ID を持つように構成されている (例えば、LDAP ユーザー・レジストリーが ID として DN を使用するリポジトリーとして 構成されている)。
  • Virtual member manager が DN によって識別された同じ LDAP サーバーが入っているレルムで構成されている。


利用条件 | フィードバック