Lightweight Third Party Authentication (LTPA) は、 分散環境と複数アプリケーション・サーバーおよびマシンの環境を対象としています。 LTPA は、転送可能なクレデンシャルおよびシングル・サインオン (SSO) をサポートしています。 LTPA は、分散環境のセキュリティーを暗号化によりサポートすることができます。 このサポートにより、LTPA は、 認証関連のデータを暗号化し、デジタル署名して安全に伝送し、 後で署名を暗号化解除して検査することができます。
アプリケーション・ サーバーは、LTPA プロトコルを使用することによって、 安全に通信を行うことができます。 また、シングル・サインオン (SSO) フィーチャーも提供されます。 シングル・サインオンでは、ユーザーはドメイン・ネーム・システム (DNS) ドメインで一度だけ認証を受けるだけで、 プロンプトが出されることもなく、 WebSphere Application Server の他のセルにあるリソースにアクセスすることができます。 DNS ドメインの各システムにあるレルム名は大/小文字が区別され、完全に一致している必要があります。
ローカル OS の場合、レルム名はホスト名と同じです。
ローカル OS の場合、レルム名はドメイン名で、
ドメインが使用されている場合は、マシン名です。
Lightweight Directory Access Protocol (LDAP) の場合、 レルム名は LDAP サーバーの host:port 値です。
LTPA プロトコルは、暗号鍵を使用して、サーバー間で受け渡しされるユーザー・データを暗号化したり、暗号化を解除したりします。 これらの鍵は、1 つのセル内のリソースが別のセル内のリソースにアクセスする際に、 関連のあるセルがすべて同じ LDAP またはカスタム・レジストリーを使用していることを前提として、 それぞれ異なるセルの間で共用される必要があります。
LTPA を使用すると、 ユーザー情報と有効期限を含むトークンが作成され、その鍵によって署名されます。 LTPA トークンは時間に依存します。 保護ドメインに参加するすべての製品サーバーは、 それぞれの時刻、日付、および時間帯を同期させなければなりません。 同期させないと、LTPA トークンは期限前に失効し、認証または検証で障害が発生します。
このトークンは、(SSO が使用可能になっている場合は Web リソースの) Cookies 経由で、あるいは認証レイヤー (エンタープライズ Bean の場合は Security Authentication Service (SAS) または Common Secure Interoperability Version 2 (CSIv2)) 経由で、同一セル内または別のセ ル内の他のサーバーに渡されます。
受信サーバーが発信サーバーと同じ鍵を共用する場合は、 トークンを暗号化解除してユーザー情報を取得することができます。 次にこの情報を検証して、期限切れでないことと、 トークン内のユーザー情報がそのレジストリー内で有効であることを確認します。 検証が正常に終了したら、受信サーバー内のリソースに、許可検査後にアクセスすることができます。
セキュリティーが有効になっている場合、 各サーバーは有効なクレデンシャルを持つ必要があります。クレデンシャルの有効期限が切れた場合、サーバーは認証のためにユーザー・レジストリーに通信する必要があります。 ユーザー・レジストリーの障害により、サーバー・プロセスがハングする場合があり、その場合、 回復するには再始動が必要になります。LTPA トークンがキャッシュ化されたまま残る期間を延長することでこのリスクが減りますが、それでもセキュリティー・ポリシーを定義する際に考慮すべき、わずかに増えたセキュリティー・リスクを示します。
セル内の WebSphere Application Server プロセス (デプロイメント・ マネージャー、ノード、アプリケーション・サーバー) のすべてで、 同じ鍵セットが共用されます。 異なるセル間で鍵の共用が必要である場合は、 鍵を一方のセルからエクスポートして、他のセルにインポートします。 セキュリティーを目的とする場合、 エクスポートされた鍵は、ユーザー定義のパスワードで暗号化されます。 鍵を別のセルにインポートする場合は、これと同じパスワードが必要になります。
WebSphere Application Server は、 LTPA、Integrated Cryptographic Services Facility (ICSF)、および Simple WebSphere Authentication Mechanism (SWAM) プロトコルをサポートしています。
プロファイル作成時にセキュリティーが使用可能になっている場合、LTPA はデフォルトで構成されています。
マシンに関係なくユーザーとグループを同じものにできるように、LTPA では、 構成済みのユーザー・レジストリーが LDAP または Windows ドメイン・タイプ・レジストリーのような集中共用リポジ トリーでなければなりません。
次の表は、認証メカニズム機能および LTPA で使用可能なユーザー・レジストリーを要約したものです。
転送可能なクレデンシャル | SSO | ローカル OS ユーザー・レジストリー | LDAP ユーザー・レジストリー。 | カスタム・ユーザー・レジストリー | |
---|---|---|---|---|---|
SWAM | いいえ | いいえ | はい | はい | はい |
LTPA | はい | はい | はい | はい | はい |
ICSF | はい | はい | はい | はい | はい |