WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: AIX , HP-UX, i5/OS, Linux, Solaris, Windows, Windows Vista, z/OS

             目次と検索結果のパーソナライズ化

外部許可プロバイダー設定

このページを使用して、 Java Authorization Contract for Containers (JACC) プロバイダーを許可の決定に使用できるようにします。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックします。
  2. External authorization providers」をクリックします。

アプリケーション・サーバーは、すべての許可決定を実行するデフォルトの 許可エンジンを提供します。また、アプリケーション・サーバーは、JACC 仕様を使用して Java 2 Platform, Enterprise Edition (J2EE) アプリケーションのデフォルトの許可エンジンを置換する、外部許可プロバイダーもサポートしています。

JACC は J2EE 仕様の一部で、これによって、 Tivoli Access Manager などのサード・パーティーのセキュリティー・プロバイダーが、 アプリケーション・サーバーにプラグインして許可決定を行うことができます。

重要: 外部 JACC プロバイダーがない場合、または JACC に基づいた J2EE 許可を処理できる Tivoli Access Manager の JACC プロバイダーを使用しない場合、およびアプリケーション・サーバーで使用するように構成および設定していない場合は、「External authorization using a JACC provider」を使用可能にしないでください。
System Authorization Facility (SAF) 認証 [z/OS]

このオプションを使用して、Java 2 Platform, Enterprise Edition (J2EE) アプリケーション、 およびアプリケーション・サーバー・ランタイムに関連付けられた 役割ベースの許可要求 (ネーミングおよび管理) の両方について、 ユーザーの役割許可に SAF EJBROLE プロファイルを使用するよう指定します。 このオプションは、 ご使用の環境に z/OS ノードのみが含まれる場合に使用できます。

重要: このオプションを選択すると、WebSphere Application Server は、許可を与えるために、z/OS セキュリティー製品に保管されている権限ポリシーを使用します。
Lightweight Access Directory Protocol (LDAP) レジストリーまたはカスタム・レジストリーを構成し、 SAF 許可を指定している場合は、protected メソッドの実行には、ログインするたびに z/OS プリンシパルへのマッピングが必要です。
  • 認証メカニズムが Lightweight Third Party Authentication (LTPA) である場合は、 以下の構成エントリーをすべて更新して、有効な z/OS プリンシパル (WEB_INBOUND、RMI_INBOUND、 DEFAULT など) にマッピングを組み込むことをお勧めします。
  • 認証メカニズムが Simple WebSphere Authentication Mechanism (SWAM) である場合は、SWAM 構成エントリーを更新して、 有効な z/OS プリンシパルへのマッピングを組み込む必要があります。
    注: SWAM は推奨されておらず、将来のリリースでは除去される予定です。

「Related items」下の「z/OS SAF authorization」をクリックして複数の SAF 許可プロパティーを使用可能にできます。com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress プロパティーの値を追加できます。このプロパティーを設定して、ICH408I メッセージをオンまたはオフにすることができます。このプロパティーのデフォルト値は false で、 この場合、メッセージは抑止されません。 この値を true に設定すると、ICH408I メッセージを抑止できます。

このプロパティーは、 ネーミングおよび管理サブシステムの、 アプリケーション定義役割とアプリケーション・サーバー・ランタイム役割の 両方に関する、アクセス違反のメッセージ生成に影響します。 システム管理機能 (SMF) レコードは、このプロパティーにより影響を受けません。EJBROLE プロファイル検査は、宣言 (デプロイメント記述子) およびプログラマチック検査の両方に行われます。
  • 宣言検査は Web アプリケーションでセキュリティー制約としてコーディングされ、 デプロイメント記述子はエンタープライズ Bean でセキュリティー制約としてコーディングされます。このプロパティーは、この場合のメッセージを制御するために使用されません。 その代わり、許可される役割セットがあり、アクセス違反が発生すると、ICH408I アクセス違反メッセージが 役割の 1 つに障害が発生したことを示します。SMF はその後、(その役割の) 単一のアクセス違反をログに記録します。
  • プログラム・ロジック検査 (またはアクセス検査) は、エンタープライズ Bean の場合はプログラマチック isCallerinRole(x) を、 Web アプリケーションの場合は isUserInRole(x) を使用して実行されます。 com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress プロパティーは、 この呼び出しによって生成されるメッセージを制御します。
外部 JACC プロバイダー

このリンクを使用して、外部 JACC プロバイダーを使用するように、アプリケーション・サーバーを構成します。例えば、外部 JACC プロバイダーを構成するには、 JACC 仕様ではポリシー・クラス名やポリシー構成ファクトリー・クラス名が必要です。

このリンクに含まれるデフォルトの設定は、 Tivoli Access Manager が許可決定のために使用します。別のプロバイダーを使用する場合は、 必要に応じて設定を変更してください。

「構成」タブ

デフォルト許可

Tivoli Access Manager などの外部セキュリティー・プロバイダーで JACC 仕様に基づいた J2EE アプリケーションの許可決定を実行する場合以外は、常にこのオプションを使用します。

デフォルト: 使用可能



関連タスク
デフォルト許可プロバイダーの使用
関連資料
外部の Java Authorization Contract for Containers プロバイダーの設定
[z/OS] z/OS System Authorization Facility 許可
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/usec_jaccprovider.html