IMS TM リソース・アダプター・セキュリティー

IMS™ TM リソース・アダプター (IMS Connector for Java™) は J2C セキュリティー・アーキテクチャーに従っています。

IMS などの Enterprise Information System (EIS) 内の情報は、無許可アクセスから保護する必要があります。 J2EE Connector Architecture (J2C) では、アプリケーション・サーバーおよび EIS を共同させ、認証済みユーザーのみが EIS にアクセスできること保証する必要があることが指定されています。J2C セキュリティー・アーキテクチャーは、J2EE ベースのアプリケーションのエンドツーエンド・セキュリティー・モデルを EIS との統合を含むように拡張します。

EIS サインオン

J2C セキュリティー・アーキテクチャーは、EIS 特定のユーザー ID およびパスワード認証メカニズムをサポートします。

ターゲット EIS にサインインするために使用するユーザー ID と パスワードは、アプリケーション・コンポーネント (コンポーネント管理サインオン)、 またはアプリケーション・サーバー (コンテナー管理サインオン) の いずれかによって提供されます。

IMS TM リソース・アダプターの場合、IMS が ターゲット EIS です。 アプリケーション・コンポーネントまたはアプリケーション・ サーバーにより提供されるセキュリティー情報は IMS TM リソース・アダプターに 渡され、そこから IMS Connect に渡されます。 IMS Connect は、この情報を使用してユーザー認証を実行し、それを IMS OTMA に渡します。IMS OTMA は次に、この情報を使用して一定の IMS リソースに アクセスするための権限を検証します。

一般的な環境では、IMS TM リソース・アダプターは 受け取ったセキュリティー情報 (ユーザー ID、パスワード、およびオプションの グループ名) を、IMS OTMA メッセージに組み込んで IMS Connect に渡します。 セキュリティー構成によっては、IMS Connect がその後でホストのセキュリティー許可機能 (SAF) を呼び出すことがあります。
  • TCP/IP を使用する分散プラットフォームまたは z/OS® 上の WebSphere® Application Server は、コンポーネント管理サインオンまたはコンテナー管理サインオンの いずれかを使用して、以下のことを行います。
    • IMS Connect 構成メンバーで RACF=Y が設定されている場合、または IMS Connect コマンド SETRACF ON が発行されている場合には、IMS Connect は SAF を呼び出し、IMS Connector for Java が OTMA メッセージに組み込んで渡したユーザー ID およびパスワードを使用して、 認証を実行します。 認証が成功した場合、SAF への IMS Connect 呼び出しから戻されたユーザー ID、オプションのグループ名、および UTOKEN が IMS OTMA に渡されて、IMS リソースに アクセスするための権限の検証に使用されます。
    • IMS Connect 構成メンバーで RACF=N が設定されている場合、または IMS Connect コマンド SETRACF OFF が発行されている場合には、IMS Connect は SAF を呼び出しません。 ただし、この場合でも、ユーザー ID とグループ名が指定されていれば、IMS リソースに アクセスするための権限の検証で使用するために、IMS OTMA に渡されます。
  • ローカル・オプションおよびコンテナー管理 EIS サインオンを使用する z/OS 上の WebSphere Application Server の場合、アプリケーション・サーバーによってのみユーザー認証が実行されます。 この認証は、SETRACF コマンドを呼び出した結果としての IMS Connect 構成メンバーまたはセットの RACF® 設定に関係なく、IMS Connect では 実行されません。 WebSphere Application Sever for z/OS は RACF を 呼び出してから、ユーザー ID を表す UTOKEN を IMS TM リソース・アダプターに 渡します。 IMS TM リソース・アダプターは 次に、この UTOKEN を IMS Connect に渡します。 IMS Connect は UTOKEN を認識しても SAF を呼び出しません。 これは、認証が既に WebSphere Application Server for z/OS により 実行されたことがわかっているためです。IMS Connect は、UTOKEN を、IMS リソースに アクセスするための権限の検証で使用するために IMS OTMA に渡します。
  • ユーザー ID は、次の 2 とおりの方法でアプリケーション・サーバーに提供されます。
    • ユーザー ID とパスワードは、Java 認証・承認サービス (JAAS) 別名で提供することができます。JAAS 別名は、IMS に アクセスするアプリケーションにより使用される接続ファクトリーと関連付けられるか、 または WebSphere Application Server のバージョンに応じてアプリケーションにより使用される EJB リソース参照と 関連付けられます。 アプリケーション・サーバーは、別名内のユーザー ID を表す UTOKEN を作成し、 これを IMS TM リソース・アダプターに 渡します。
    • WebSphere Application Server for z/OS は、 アプリケーションの実行スレッドに関連付けられたユーザー ID を取得するように 構成することができます。 アプリケーション・サーバーは、ユーザー ID を表す UTOKEN を作成し、 これを IMS TM リソース・アダプターに 渡します。

IMS が実行する許可検査のレベルは、IMS コマンド /SECURE OTMA によって制御されます。 このコマンドについて詳しくは、「IMS オープン・トランザクション管理アクセスの手引き」を参照してください。

Java2 セキュリティー・マネージャー

IMS TM リソース・アダプターは、WebSphere Application Server Java2 セキュリティー・マネージャーと連動します。 リソース・アダプターなどのコンポーネントは、ソケット呼び出しなどの保護タスクを実行できるように 許可されている必要があります。 IMS TM リソース・アダプターは、 既にこれらのタスクの実行を許可されています。

Secure Sockets Layer (SSL) 通信

IMS TM リソース・アダプターおよび IMS Connect は、適切に構成されているならば TCP/IP の Secure Sockets Layer プロトコルを使用して、相互間の通信を保護することができます。

SSL 接続は、通常の非 SSL TCP/IP 接続より保護機能が強固で、IMS Connect サーバーおよび、オプションで IMS TM リソース・アダプター・クライアントの認証を提供します。また SSL 接続で流れるメッセージは、暗号化されている場合があります。

Null 暗号化を持つ SSL は、認証は行われるがメッセージは暗号化されないという中間レベルのセキュリティーを提供します。 SSL Null 暗号化は、暗号化された通信の高いセキュリティーおよび低いスループットと、暗号化されていない SSL 通信の低いセキュリティーおよび高いスループットの間にトレードオフを提供します。非暗号化 SSL 通信は、IMS TM リソース・アダプターと IMS Connect 間を流れるメッセージごとに暗号化するのに必要なオーバーヘッドを除去するため、高いスループットを持ちます。

関連概念
コンテナー管理 EIS サインオン
コンポーネント管理 EIS サインオン
Secure Sockets Layer (SSL)

フィードバック