アプリケーションおよびそれらの環境の保護に関連する主要な概念を説明します。WebSphere Application Server は、複数層のエンタープライズ・コンピューティング・フレームワークの中核をなす部分です。
オープン・アーキテクチャーに基づき、WebSphere Application Server は、エンタープライズ・ソフトウェア・コンポーネントと統合するプラグイン・ポイントを多数提供して、エンドツーエンド・セキュリティーを提供します。
セキュリティー・インフラストラクチャーおよびメカニズムによって、
エンタープライズ・セキュリティー要件に対応することで、Java 2
Platform Enterprise Edition
(J2EE) リソースおよび管理リソースが保護されます。
- 管理セキュリティー
- 管理セキュリティーによって、セキュリティーを使用するかどうか、認証が行われるレジストリーのタイプ、
および多くがデフォルトとして動作するその他の値が決定されます。管理セキュリティーの使用可能化を正しく行わないと、
管理コンソールが使用できなくなったり、サーバーが異常終了したりすることがあるので、
正しく計画することが必要です。
- アプリケーション・セキュリティー
- アプリケーション・セキュリティーは、ご使用の環境でアプリケーションのセキュリティーを使用可能にします。
このタイプのセキュリティーは、アプリケーションの分離、およびアプリケーション・ユーザーを認証するための
要件を提供します。
- Java 2 セキュリティー
- Java 2 セキュリティーでは、
ポリシー・ベースの、精密なアクセス制御メカニズムが提供されます。
このメカニズムにより、
プロテクトされた特定のシステム・リソースにアクセスが許可される前にアクセス権の検査が行われるため、
全体のシステム保全性が高まります。
Java 2 セキュリティーは、
ファイル入出力、ソケット、およびプロパティーなどのシステム・リソースへのアクセスを保護します。
Java 2 Platform, Enterprise Edition (J2EE) セキュリティー・ガードは、サーブレット、JavaServer Pages (JSP) ファイルおよび Enterprise JavaBeans (EJB) メソッドのような Web リソースにアクセスします。
- ユーザー・レジストリーおよびリポジトリー
- WebSphere Application Server は、複数のタイプのレジストリーとリポジトリーをサポートする実装を提供しています。
これらのタイプには、ローカル・オペレーティング・システム・レジスター、
スタンドアロン Lightweight Directory Access Protocol (LDAP) レジストリー、
スタンドアロン・カスタム・レジストリー、およびフェデレーテッド・リポジトリーが含まれます。
- ローカル・オペレーティング・システムのレジストリー
- ローカル・オペレーティング・システムの
レジストリー実装により、WebSphere
Application Server の認証メカニズムは、
ローカル・オペレーティング・システムの
ユーザー・アカウント・データベースを使用できます。
- 認証メカニズム
- 認証メカニズムは、クレデンシャルを他の Java プロセスに転送できるかどうかなどの
セキュリティー情報に関するルールや、セキュリティー情報をクレデンシャルとトークンの両方に保管する
場合のフォーマットを定義します。
- スタンドアロン Lightweight Directory Access Protocol レジストリー
- WebSphere Application Server セキュリティーは、
ユーザーおよびグループの情報用リポジトリーとして機能する、
主要な LDAP ディレクトリー・サーバーの実装を提供し、サポートします。
- 統合リポジトリー
- フェデレーテッド・リポジトリーにより、
複数のリポジトリーを WebSphere Application Server で使用できます。
これらのリポジトリー (ファイル・ベースのリポジトリー、LDAP リポジトリー、LDAP のサブツリーのリポジトリー) は、単一のレルム下で定義され、理論的に結合されます。
- EJB セキュリティーの認証プロトコル
- z/OS Secure Authentication Service (z/SAS)
および Common Secure Interoperability バージョン 2 (CSIv2) の、2 つの
認証プロトコルから選択できます。
- 許可テクノロジー
- 許可情報によって、ユーザーまたはグループが、リソースにアクセスするのに必要な特権を持っているか
どうかが判別されます。
- Java Authentication and Authorization Service (JAAS)
- Java Authentication and Authorization Service は、Java 2 Security 許可を、
コード・ベースおよびユーザーだけでなく、
プリンシパルに対するコード・ベースまで拡張できるようにサポートする標準 Java API です。
-
- WebSphere Application Server バージョン 6.1 サーバーは、CSIv2 認証プロトコルのみをサポートします。
SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x とそれより前のバージョンの間の
サーバーに限られます。SAS または CSIv2、あるいはその両方を選択するオプションは、バージョン 6.0.x またはそれ以前の
リリースがバージョン 6.1 セルに統合されている場合の管理コンソールにおいてのみ使用可能です。
- ID マッピング
- ID マッピングは、2 つのサーバー間のユーザー ID の 1 対 1 のマッピングです。
これにより、ダウンストリーム・サーバーが適切な許可を決定できるようになります。
サーバーの統合が必要な場合、ID マッピングが必要となりますが、
ユーザー・レジストリーは、それぞれ異なり、システム間で共用されません。
- Secure Sockets Layer を使用したセキュア通信
- Secure Sockets Layer (SSL) プロトコルは、WebSphere Application Server を使用するサーバーと
クライアント間のセキュア接続のために、認証性、データ署名、およびデータの暗号化を含む
トランスポート層セキュリティーを提供します。SSL の基盤テクノロジーは公開鍵暗号方式です。
この方式は、エンティティーが秘密鍵を使用してデータを暗号化する場合、対応する公開鍵を持つエンティティーのみが
そのデータの暗号化解除を行うことができることを保証するというものです。
- 暗号を使用するための鍵管理
- WebSphere Application Server は、アプリケーションがデータに対して暗号操作を行うために使用する鍵 (秘密鍵または鍵ペア) を管理するためのフレームワークを提供しています。
鍵管理フレームワークは、これらの鍵を取り出すためのアプリケーション・プログラミング・インターフェース (API) を提供します。鍵は鍵ストアで管理されるため、鍵ストアのタ
イプは WebSphere Application Server によってサポートされます。ただし、鍵ストアが参照される鍵タイプを保管できる
ことが条件です。
鍵と有効範囲の鍵ストアを、それらが特定のプロセス、ノード、クラスターなどに対してのみ可視になるように、構
成できます。
- カスタム・パスワード暗号化のプラグ・ポイント
- カスタム・パスワード暗号化のプラグ・ポイントを作成して、
Base64 エンコードを使用して現在エンコードまたはデコードされている WebSphere Application
Server のすべてのパスワードを暗号化または暗号化解除することができます。
- JSSE および JCE プログラミング・インターフェースによるセキュア・トランスポート
- このトピックは、Java Secure Socket Extension (JSSE) および Java Cryptography Extension (JCE)
プログラミング・インターフェースを使用したトランスポート・セキュリティーに関する詳細な情報を提供します。
このトピック内には、IBM バージョンの Java Cryptography Extension Federal Information Processing
Standard (IBMJCEFIPS) についての説明があります。
- Web コンポーネント・セキュリティー
- Web モジュールを開発し、
それぞれの Web リソースのメソッド・レベルで、
セキュリティーを実行することができます。
- パスワードのエンコードおよび暗号化
- パスワードのエンコードにより、サーバー構成およびプロパティー・ファイルのパスワードが簡単に露呈するのを防ぐことができます。
- セキュリティー役割の参照
- 使用可能なプログラマチック・セキュリティー J2EE API である isUserInRole (String roleName) または isCallerInRole (String roleName) を使用する Web アプリケーション開発者または EJB プロバイダーは、
コード内で role-name を使用します。
- 基本セキュリティー・プロファイル準拠のヒント
- Web Services Interoperability Organization (WS-I) の基本
セキュリティー・プロファイル (BSP) 1.0 では、所有権の付帯していない一
連の Web サービス仕様を明確化し増強することによって、インターオペラビ
リティーがレベル上げされています。
WebSphere Application Server の Web サービス・セキュリティーでは、
インターオペラビリティーを確保する目的で、BSP 勧告およびセキュリティー上の考慮事項を確実に有効化するための
構成オプションが提供されています。これらの勧告に従う度合いは、構成しているアプリケーションがどれだけ基本セキュリティー・プロファイル (BSP) に準拠しているかを測る指標となります。
- カスタム・セキュリティー・トークンの伝搬
- Web サービス・セキュリティーは、セキュリティー・トークンを SOAP メッセージのセキュリティー・ヘッダー
を使用して送信する機能を持っています。これらのセキュリティー・トークンは、メッセージ部分の署名、検証、暗号化、
または暗号化解除に使用できます。それらは、独立のセキュリティー・トークンとして送信し、
要求コンシューマーの呼び出し元として設定することもできます。カスタム・セキュリティー・トークンの伝搬は、
Web サービス・セキュリティーを使用したこれらのカスタム・セキュリティー・トークンの伝搬に使用されるフィーチャーです。
- UDDI レジストリー・セキュリティーの追加考慮事項
- UDDI レジストリー・セキュリティーの構成に加えて、UDDI レジストリーの振る舞いに影響を与える可能性のある UDDI レジストリー設定は、ほかにもたくさんあります。
その設定の中には、セキュリティーに固有のものもあれば、
セキュリティーの構成時に注意すべき点もあります。
- J2EE コネクター・セキュリティー
- J2EE コネクター・アーキテクチャーは、
Java 2 Platform, Enterprise Edition (J2EE) を異機種のエンタープライズ情報システム (EIS) に接続するための標準のアーキテクチャーを定義します。
- 非同期メッセージング - セキュリティーの考慮事項
- このトピックでは、WebSphere Application Server による非同期メッセージングのセキュリティーを使用したい場合に留意すべき考慮事項について説明します。