認証メカニズム は、クレデンシャルが別の Java プロセスに転送可能かどうかなどのセキュリティー情報に関するルールや、 セキュリティー情報がクレデンシャルとトークンの両方に保管される場合のフォーマットを定義します。
認証 は、クライアントが特定のコンテキストにおいて、 主張する本人または物であるかという、本人性を確立するプロセスです。 クライアントは、エンド・ユーザー、マシン、アプリケーションのいずれかです。 一般的に WebSphere Application Server の認証メカニズムは、 ユーザー・レジストリー と密接にコラボレーションします。 ユーザー・レジストリーはユーザーおよびグループのアカウントのリポジトリーで、 認証の実行時に認証メカニズムによって使用されます。 認証メカニズムは、 正常に認証されたクライアント・ユーザーの内部製品表記である信任状 の作成を担当します。 すべての信任状が同等に作成されるわけではありません。 信任状の能力は、構成される認証メカニズムで決まります。
LTPA は、Network Deployment 環境で使用可能な唯一の認証メカニズムです。
この図は、認証プロセスを示しています。 認証が必要なのは、エンタープライズ Bean クライアントと Web クライアントが保護リソースにアクセスする場合です。 サーブレットまたはその他のエンタープライズ Bean または純粋なクライアントなどの エンタープライズ Bean クライアントは、 以下のプロトコルの 1 つを使用して、Web アプリケーション・サーバーに認証情報を送信します。
前の図に示すように、Web クライアントは、HTTP または HTTPS プロトコルを使用して認証情報を送信します。
認証情報は、基本認証 (ユーザー ID およびパスワード)、 証明書トークン (Lightweight Third Party Authentication (LTPA) の場合)、 またはクライアント証明書です。 Web 認証は、Web 認証モジュールによって行われます。
エンタープライズ Bean 認証は、 Enterprise JavaBean (EJB) 認証モジュールによって実行されます。
EJB 認証モジュールは CSIv2 レイヤーおよび SAS レイヤー内にあります。
EJB 認証モジュールは CSIv2 レイヤーおよび z/SAS レイヤー内にあります。
認証モジュールは、Java Authentication and Authorization Service (JAAS) ログイン・モジュールを使用してインプリメントされます。 Web オーセンティケーターおよび EJB オーセンティケーターは、ログイン・モジュール (2) に認証データを渡し、これによりデータを認証するために 以下のメカニズムを使用することができます。
ローカル・オペレーティング・システムまたは LDAP レジストリーのどちらかのレジストリーの代わりに、 IBM が指定するレジストリー・インターフェースに従う外部レジストリーの実装を使用することができます。
ログイン・モジュールは、認証後に JAAS サブジェクトを作成し、 このサブジェクトの公開クレデンシャル・リストに、認証データから派生したクレデンシャルを保管します。 クレデンシャルは、Web オーセンティケーターまたはエンタープライズ Bean オーセンティケーターに戻されます (5)。
Web オーセンティケーターおよびエンタープライズ Bean オーセンティケーターは、受け取ったクレデンシャルを、
現在許可サービスが詳細なアクセス制御検査の実行に使用しているオブジェクト・リクエスト・ブローカー (ORB) に保管します。
クレデンシャルが転送できる場合は、
他のアプリケーション・サーバーに送信されます。
Web オーセンティケーターおよびエンタープライズ Bean
オーセンティケーターは、受け取ったクレデンシャルを、許可サービスが詳細なアクセス制御検査を実行する際
に使用するために保管します。