Tivoli Access Manager は、WebSphere Application Server で Java Authorization Contract for Container (JACC) モデルを使用し、アクセス検査を行います。
JACC のサポートに使用される Tivoli Access Manager ランタイム変更
ランタイム変更のため、Tivoli Access Manager には、JACC に必要な PolicyConfigurationFactory および PolicyConfiguration インターフェースがインプリメントされています。 アプリケーションのインストール時に、 デプロイメント記述子のセキュリティー・ポリシー情報およびバインディング・ファイル内の許可テーブル情報が、 これらのインターフェースを使用して Tivoli プロバイダーに伝搬されます。 Tivoli プロバイダーは、それぞれの Tivoli Access Manager アプリケーション・プログラミング・インターフェース (API) を呼び出すことにより、 ポリシーおよび許可テーブルの情報を Tivoli Access Manager ポリシー・サーバーに保管します。
また、Tivoli Access Manager には、RoleConfigurationFactory および RoleConfiguration インターフェースがインプリメントされています。 これらのインターフェースを使用することにより、許可テーブル情報が、ポリシー情報と共にプロバイダーに確実に受け渡されます。 これらのインターフェースについての詳細は、JACC をサポートするインターフェース を参照してください。
Tivoli Access Manager クライアント構成
Tivoli Access Manager クライアントを構成するには、管理コンソール または wsadmin スクリプトのいずれかを使用することができます。Tivoli Access Manager クライアント構成用の管理コンソール・パネルには、 「セキュリティー」>「管理、アプリケーション、インフラストラクチャーの保護」 >「 外部許可プ ロバイダー」とクリックすることにより、アクセスできます。 「関連項目」の下の「外部 JACC プロバイダー」をクリックします。Tivoli クライアントは、 Tivoli Access Manager JACC プロバイダーを使用するようセットアップする必要があります。
Tivoli Access Manager クライアントを構成する方法について詳しくは、Tivoli Access Manager JACC プロバイダー構成 を参照してください。
許可テーブル・サポート
Tivoli Access Manager は RoleConfiguration インターフェースを使用して、アプリケーションがインストールされるか、またはデプロイされたときに、許可テーブル情報を Tivoli Access Manager プロバイダーに受け渡します。 アプリケーションがデプロイされるか編集される場合、ユーザーまたはグループと役割の間のマッピングのための、ユーザーおよびグループのセットが、Tivoli Access Manager サーバーから取得されます。そこでは、同一の Lightweight Directory Access Protocol (LDAP) サーバーが WebSphere Application Server と共用されています。 この共用は、アプリケーション管理のユーザーまたはグループと役割の間の管理コンソール・パネルへのプラグインにより、実現されています。 WebSphere Application Server に構成された LDAP レジストリーに依存するのではなく、管理 API がユーザーおよびグループを取得するために呼ばれます。
アクセス・チェック
WebSphere Application Server が Tivoli Access Manager に対して JACC プロバイダーを使用するよう構成されている場合は、アクセスの決定が行えるよう、Tivoli Access Manager に情報が受け渡されます。 Tivoli Access Manager ポリシーのインプリメンテーションでは、アクセスの決定のため、アクセス・コントロール・リスト (ACL) データベースのローカル・レプリカを照会します。
PDLoginModule モジュールを使用した認証
WebSphere Application Server のカスタム・ログイン・モジュールで、認証を行うことができます。 このログイン・モジュールは、WebSphere Application Server が提供するログイン・モジュールの前にプラグインされます。 カスタム・ログイン・モジュールは、サブジェクトに保管される情報を提供できます。 必要な情報が保管された場合は、その情報を取得するための余計なレジストリー呼び出しは行われません。