アダプターの保護

WebSphere Process Server では、WebSphere Business Integration Adapters と WebSphere Adapters という 2 つのタイプのアダプターがサポートされています。ここでは、両タイプのアダプターのセキュリティーについて説明します。

このタスクを行う理由とその時期

アダプターは、エンタープライズ情報システム (EIS) との通信でアプリケーションが使用するメカニズムです。アプリケーションと EIS 間で交換される情報は、高い機密性を必要とする可能性があります。 そのため、この情報のトランザクションにおけるセキュリティーを確保することは重要です。

WebSphere Business Integration Adapters は、複数のソフトウェア、アプリケーション・プログラム・インターフェース (API)、およびツールの集合で構成され、アプリケーションが統合ブローカーを通してビジネス・データを交換できるようにします。WebSphere Business Integration Adapters は JMS メッセージングに依存しており、JMS はセキュリティー・コンテキストの伝搬をサポートしません。

WebSphere Adapters は、エンタープライズ情報システム (EIS) と、WebSphere Process Server によってサポートされる J2EE コンポーネントの間の管理された双方向接続を使用可能にします。

この両方のタイプのアダプターから WebSphere Process Server へのインバウンド通信には、認証メカニズムがありません。 WebSphere Business Integration Adapters の場合は、JMS メッセージングに依存しているので、セキュリティー・コンテキストの伝搬は不可能です。また 、J2C でもインバウンド・セキュリティーはサポートしないため、WebSphere Adapters にもインバウンド通信の認証メカニズムはありません。

アダプターから WebSphere Process Server への入力では、必ず Service Component Architecture (SCA) エクスポートが使用されます。SCA エクスポートは、メディエーション、ビジネス・プロセス、SCA Java コンポーネント、またはセレクターなどの SCA コンポーネントに関連付けられる必要があります。

セキュリティーの解決策は、WebSphere Adapter エクスポートのターゲットになっているコンポーネントで runAs ロールを定義することです。これを行うには、開発時に SCA 修飾子 SecurityIdentity を使用します (詳しくは、IBM WebSphere Integration Developer ドキュメンテーションを参照してください)。コンポーネントの実行は 、runAs ロールで定義されている ID で行われます。

SecurityIdentity の 値は、ユーザーではなくロールです。ただし 、EAR ファイルが WebSphere Process Server にデプロイされる際に、 使用される ID のユーザー名とパスワードを入力する必要があります。 SecurityIdentity の使用により、ダウンストリームのコンポーネントが保護されていて、クライアントに認証済み ID が必要な場合に、例外のスローが防止されます。
注: SecurityIdentity を使用しても、アダプターと EIS 間の通信は保護されません。

WebSphere Business Integration Adapters は、データをサービス統合バスを介した JMS メッセージとして、WebSphere Process Server に送信します。

WebSphere Adapters は 、WebSphere Process Server の JVM に常駐します。 このため、保護する必要があるのは、アダプターとターゲットの EIS 間の 通信のみです。アダプターと EIS 間のプロトコルは EIS に固有のものです。 EIS の資料には、このリンクの保護方法に関する情報が記載されています。

関連概念
サービス統合バスのセキュリティー上の考慮事項

(c) Copyright IBM Corporation 2005, 2006.
このインフォメーション・センターには Eclipse テクノロジー (http://www.eclipse.org) が採用されています。