WebSphere® eXtreme
Scale が WebSphere Application Server 環境にデプロイされている場合、WebSphere Application Server からの認証フローおよびトランスポート層セキュリティー構成を簡略化できます。
簡略化された認証フロー
eXtreme Scale クライアントおよびサーバーが WebSphere Application Server および同じセキュリティー・ドメインで稼働中の場合、
WebSphere Application Server セキュリティー・インフラストラクチャーを使用して、クライアント認証資格情報を eXtreme Scale サーバーに伝搬することができます。
例えば、サーブレットが eXtreme Scale クライアントとして動作して、同じセキュリティー・ドメインの
eXtreme Scale サーバーに接続し、そのサーブレットが既に認証されている場合、
認証トークンをクライアント (サーブレット) からサーバーに伝搬し、その後、
WebSphere Application Server セキュリティー・インフラストラクチャーを使用して、認証トークンを元のクライアント資格情報に変換することができます。
図 1. 同じセキュリティー・ドメイン内のサーバーの認証フロー
前の図で、アプリケーション・サーバーは同じセキュリティー・ドメイン内にあります。1 台のアプリケーション・サーバーが Web アプリケーションをホストしており、
eXtreme Scale クライアントでもあります。
別のアプリケーション・サーバーは、コンテナー・サーバーをホストしています。デプロイメント・マネージャーまたはノード・エージェントの Java 仮想マシン (JVM) は、カタログ・サービスをホストしています。図の矢印は、認証プロセス・フローを示しています。
- エンタープライズ・アプリケーション・ユーザーは、Web ブラウザーを使用して、最初のアプリケーション・サーバーにユーザー名とパスワードを指定してログインします。
- 最初のアプリケーション・サーバーは、クライアントのユーザー名とパスワードを WebSphere Application Server セキュリティー・インフラストラクチャーに送信して、ユーザー・レジストリーに対して認証を行います。例えば、このユーザー・レジストリーは LDAP サーバーである場合があります。この結果として、セキュリティー情報がアプリケーション・サーバー・スレッドに保管されます。
- JavaServer Pages (JSP) ファイルは、サーバー・スレッドからセキュリティー情報を取得するために eXtreme Scale クライアントとして機能します。JSP ファイルは、WebSphere Application Server セキュリティー・インフラストラクチャーを呼び出して、エンタープライズ・アプリケーション・ユーザーを表すセキュリティー・トークンを取得します。
- eXtreme Scale クライアント、すなわち、JSP ファイルは、要求と一緒にセキュリティー・トークンを、他の JVM でホストされているコンテナー・サーバーおよびカタログ・サービスに送信します。カタログ・サーバーおよびコンテナー・サーバーは、WebSphere Application Server セキュリティー・トークンを eXtreme Scale クライアント資格情報として使用します。
- カタログ・サーバーおよびコンテナー・サーバーは、セキュリティー・トークンをユーザーのセキュリティー・トークン情報に変換するために、セキュリティー・トークンを WebSphere Application Server セキュリティー・インフラストラクチャーに送信します。このユーザー・セキュリティー情報は、Subject オブジェクトによって示され、プリンシパル、公開資格情報、および秘密資格情報を含んでいます。
この変換を行うことができるのは、eXtreme Scale クライアント、カタログ・サーバー、およびコンテナー・サーバーをホストしているアプリケーション・サーバーが同じ WebSphere Application Server Lightweight Third-Party Authentication (LTPA) トークンを共有しているためです。
認証統合
WebSphere Application Server との分散セキュリティー統合:
分散モデルでは、以下のクラスを使用します。
- com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenCredentialGenerator
- com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenAuthenticator
- com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenCredential
これらのクラスの使用例については、チュートリアル: WebSphere eXtreme Scale セキュリティーの WebSphere Application Server との統合を参照してください。
サーバー・サイドで、WSTokenAuthentication オーセンティケーターを使用して、WSTokenCredential オブジェクトを認証します。
WebSphere Application Server とのローカル・セキュリティー統合:
ローカル ObjectGrid モデルでは、以下のクラスを使用します。
- com.ibm.websphere.objectgrid.security.plugins.builtins.WSSubjectSourceImpl
- com.ibm.websphere.objectgrid.security.plugins.builtins.WSSubjectValidationImpl
これらのクラスについて詳しくは、ローカル・セキュリティー・プログラミングを参照してください。
WSSubjectSourceImpl クラスを SubjectSource プラグインとして構成し、WSSubjectValidationImpl クラスを SubjectValidation プラグインとして構成することができます。
WebSphere Application Server でのトランスポート層セキュリティー・サポート
eXtreme Scale クライアント、
コンテナー・サーバー、またはカタログ・サーバーが WebSphere Application Server プロセスで実行している場合、eXtreme Scale トランスポート・セキュリティー
は WebSphere Application Server CSIV2 トランスポート設定によって管理されます。
eXtreme Scale クライアントまたはコンテナー・サーバーについては、SSL 設定を構成するために eXtreme Scale クライアントまたはサーバーのプロパティーを使用するべきではありません。 すべての SSL 設定は、WebSphere Application Server 構成で指定するようにしてください。
ただし、カタログ・サーバーは少し異なります。 カタログ・サーバーは独自の専有トランスポート・パスを持っていますが、これは WebSphere Application Server CSIV2 トランスポート設定では管理できません。
このため、SSL プロパティーは引き続き、カタログ・サーバーに対してサーバー・プロパティー・ファイルで構成する必要があります。詳しくは、チュートリアル: WebSphere eXtreme Scale セキュリティーの WebSphere Application Server との統合を参照してください。