エンドツーエンド・セキュリティーの構築

構築可能なさまざまなエンドツーエンド・セキュリティーのシナリオがあります。これらの 各シナリオでは、異なるセキュリティーの手順が必要になる可能性があります。ここでは、必要なセキュリティー・オプションを 持つ数種類の標準的なシナリオを提供します。

始める前に

これらのシナリオはすべて、グローバル・セキュリティーが実行されていることを前提としています。

このタスクを行う理由とその時期

このタスクのステップ

  1. このセクションで提供されているどの例が、お客様のセキュリティーのニーズに 最も合致しているかを判断します。 特定の状況では、お客様のシナリオとして複数の例の情報を組み合わせることが必要になる場合もあります。
  2. 関連のシナリオのセキュリティー情報を参照して、それらをお客様のセキュリティーのニーズに適用してください。

標準的な統合シナリオ - インバウンド・アダプターおよびアウトバウンド・アダプター

インバウンド要求は、WebSphere Business Integration Adapter で 受信します。Service Component Architecture (SCA) は、SCA エクスポートに基づいてインターフェース・マップを 呼び出します。この要求は、処理コンポーネント、2 番目のインターフェース・マップを経由した後、 WebSphere Adapter を 介して 2 番目の EIS (B) に渡されます。これらは、あるコンポーネントが次のコンポーネントのメソッドを呼び出していく SCA 呼び出しです。

この図は、標準的な統合シナリオによるデータの推移を示しています。
情報の開始点は「A」とラベルが付いている EIS で、左から右へ向かって WebSphere Business Integration Adapter を通って SCA JMS エクスポートに到達した後、インターフェース・マップを通って処理へ到達します。
次に処理は要求を 2 番目のインターフェース・マップと SCA インポートを経由して WebSphere Adapter に渡した後、「B」とラベルが付いている 2 番目の EIS と通信します。
2 つの EIS と WebSphere Business Integration Adapter 以外のすべての要素が、「WebSphere Process Server」とラベルが付いている楕円にまとめられます。
矢印はデータ・フローの方向を示しています。

インバウンド・アダプターのための認証メカニズムはありません。 最初のコンポーネント (この場合、最初のインターフェース・マップ・コンポーネント) 上で SecurityIdentity 修飾子を定義して、セキュリティー・コンテキストを設定することができます。 このポイントから、SCA はセキュリティー・コンテキストを各コンポーネントから次のコンポーネントへと伝搬します。 コンポーネントごとのアクセス制御は、SecurityPermission 修飾子を使用して定義されます。

WebSphere Process Server への インバウンド Web サービス要求

この シナリオでは、Web サービス・クライアントが、WebSphere Process Server のコンポーネントを呼び出します。 要求は、アダプターによって EIS に渡される前に WebSphere Process Server 環境内で数種類のコンポーネントを経由します。

この図は、WebSphere Process Server への Web サービス要求を示しています。
左側に「WebServices クライアント」とラベルが付いているセルがあり、このセルからの「SSL または WS セキュリティー」とラベルが付いている矢印が、「WebSphere Process Server」とラベルが付いている楕円を指しています。この楕円内には、さまざまな処理、アダプター、およびマップを表すためにラベルが付いていないセルが含まれています。
この楕円から「SSL」とラベルが付いている 2 番目の矢印が出ていて、EIS を表すセルにつながっています。

HTTP 基本認証 または WS-Security 認証を使用して、SSL クライアントとして Web サービス・クライアントを 認証することができます。クライアントが認証される際 、アクセス制御が SecurityPermission 修飾子に基づいて適用されます。 クライアントと WebSphere Process Server インスタンスの間で、SSL または WS-Security を使用してデータ保全性およびプライバシーを保護することができます。 SSL は パイプ全体を保護しますが、WS-Security を使用すると、SOAP メッセージの各部分を暗号化または デジタル署名することができます。Web サービスの場合、WS-Security が好ましい標準です。

WebSphere Process Server からのアウトバウンド Web サービス要求

この シナリオでは、インバウンド要求はアダプター、Web サービス・クライアント、または HTTP クライアントから 受信することができます。WebSphere Process Server のコンポーネント (例えば BPEL コンポーネント) は、外部の Web サービスを呼び出します。

この図は、WebSphere Process Server からの Web サービス要求を示しています。
左側に「EIS A」とラベルが付いているセルがあり、このセルからの「SSL」とラベルが付いている矢印が、「WebSphere Process Server」とラベルが付いている楕円を指しています。
この楕円から 2 つの矢印が出ていて、最初 (上) の「SSL または WS セキュリティー」とラベルが付いた矢印は、「外部の Web サービス」とラベルが付いているセルで終わり、2 番目 (下) の「SSL」とラベルが付いた矢印は、2 番目の EIS (B) を表すセルにつながっています。

インバウンド Web サービス要求の場合 、HTTP 基本認証または WS-Security 認証を使用して、SSL クライアントとして 外部の Web サービスを認証することができます。LTPACallBackHandler を コールバック・メカニズムとして使用して、現在の RunAs サブジェクト から usernameToken を抽出します。WebSphere Process Server とターゲットの Web サービスとの間で、WS-Security を使用してデータのプライバシーおよび保全性を 確保することができます。

Web アプリケーション - WebSphere Process Server への HTTP インバウンド要求

WebSphere Process Server では、HTTP 用に以下の 3 種類の認証をサポートしています。 また、侵入者からご使用のイントラネットを保護するために 、Web サーバーを非武装地帯 (DMZ) に、WebSphere Process Server を 内部ファイアウォールの内側に配置することができます。以下の例では、WebSeal がリバース・プロキシーとして使用され、 認証を実行します。WebSeal は、ファイアウォールの背後の WebSphere Process Server とトラスト・アソシエーションを持っているため、認証済み要求を転送できます。
この図は、HTTP (インバウンド) 要求を WebSphere Process Server に対して送信する Web アプリケーションを表しています。
この図には、(左から右へ向かって)「HTTP または WebService クライアント」とラベルが付いた 3 角形のセルがあり、このセルから矢印が出ていて、ファイアウォールを表す太線と交差した後、「WebSeal」とラベルが付いた 5 角形のセルに到達して終わっています。
2 番目のファイアウォールは、「DMZ」と表示された領域の WebSeal のセルを分離しています。
WebSeal のセルから (「SSL」というラベルの) 矢印が出ていて、2 番目のファイアウォールに交差して、「WebSphere Process Server」とラベルが付いたセルに到達しています。
前の 2 つの矢印と同じ軌道に沿って 3 番目の矢印がこのセルの右側から出ていて、「EIS」とラベルが付いたセルに到達して終わっています。
この図には、「WebSphere Process Server」の楕円の真下に 5 番目のセルがあります。
このセルには「Tivoli Access Manager または LDAP」とラベルが付いていて、矢先が垂直の両方向の矢印で「WebSphere Process Server」のセルに接続されています。また、このセルは 2 番目のファイアウォールを表す太線に交差する矢先が両方向の矢印で「WebSeal」のセルにも接続されていて、この最後の矢印は「SSL」とラベルが付いています。
関連概念
サービス統合バスのセキュリティー上の考慮事項

(c) Copyright IBM Corporation 2005, 2006.
このインフォメーション・センターには Eclipse テクノロジー (http://www.eclipse.org) が採用されています。