IMS™
TM リソース・アダプター (IMS
Connector for Java™) は
J2C セキュリティー・アーキテクチャーに従っています。
IMS などの
Enterprise Information System (EIS) 内の情報は、無許可アクセスから保護する必要があります。
J2EE Connector Architecture (J2C)
では、アプリケーション・サーバーおよび EIS を共同させ、認証済みユーザーのみが
EIS にアクセスできること保証する必要があることが指定されています。J2C セキュリティー・アーキテクチャーは、J2EE
ベースのアプリケーションのエンドツーエンド・セキュリティー・モデルを EIS との統合を含むように拡張します。
EIS サインオン
J2C セキュリティー・アーキテクチャーは、EIS 特定のユーザー ID およびパスワード認証メカニズムをサポートします。
ターゲット EIS にサインインするために使用するユーザー ID と
パスワードは、アプリケーション・コンポーネント (コンポーネント管理サインオン)、
またはアプリケーション・サーバー (コンテナー管理サインオン) の
いずれかによって提供されます。
IMS
TM リソース・アダプターの場合、IMS が
ターゲット EIS です。 アプリケーション・コンポーネントまたはアプリケーション・
サーバーにより提供されるセキュリティー情報は IMS TM リソース・アダプターに
渡され、そこから IMS
Connect に渡されます。 IMS
Connect は、この情報を使用してユーザー認証を実行し、それを IMS
OTMA に渡します。IMS
OTMA は次に、この情報を使用して一定の IMS リソースに
アクセスするための権限を検証します。
一般的な環境では、IMS
TM リソース・アダプターは
受け取ったセキュリティー情報 (ユーザー ID、パスワード、およびオプションの
グループ名) を、IMS
OTMA メッセージに組み込んで IMS
Connect に渡します。 セキュリティー構成によっては、IMS
Connect がその後でホストのセキュリティー許可機能 (SAF) を呼び出すことがあります。
- TCP/IP を使用する分散プラットフォームまたは z/OS® 上の WebSphere®
Application Server は、コンポーネント管理サインオンまたはコンテナー管理サインオンの
いずれかを使用して、以下のことを行います。
- IMS
Connect 構成メンバーで RACF=Y が設定されている場合、または IMS
Connect コマンド SETRACF ON が発行されている場合には、IMS
Connect は SAF を呼び出し、IMS
Connector for Java が
OTMA メッセージに組み込んで渡したユーザー ID およびパスワードを使用して、
認証を実行します。
認証が成功した場合、SAF への IMS
Connect 呼び出しから戻されたユーザー ID、オプションのグループ名、および
UTOKEN が IMS
OTMA に渡されて、IMS リソースに
アクセスするための権限の検証に使用されます。
- IMS
Connect 構成メンバーで RACF=N が設定されている場合、または IMS
Connect コマンド SETRACF OFF が発行されている場合には、IMS
Connect は SAF を呼び出しません。
ただし、この場合でも、ユーザー ID とグループ名が指定されていれば、IMS リソースに
アクセスするための権限の検証で使用するために、IMS
OTMA に渡されます。
- ローカル・オプションおよびコンテナー管理 EIS サインオンを使用する z/OS 上の
WebSphere Application
Server の場合、アプリケーション・サーバーによってのみユーザー認証が実行されます。
この認証は、SETRACF コマンドを呼び出した結果としての IMS
Connect 構成メンバーまたはセットの RACF® 設定に関係なく、IMS Connect では
実行されません。 WebSphere Application
Sever for z/OS は RACF を
呼び出してから、ユーザー ID を表す UTOKEN を IMS TM リソース・アダプターに
渡します。 IMS
TM リソース・アダプターは
次に、この UTOKEN を IMS
Connect に渡します。 IMS
Connect は UTOKEN を認識しても SAF を呼び出しません。
これは、認証が既に WebSphere Application
Server for z/OS により
実行されたことがわかっているためです。IMS
Connect は、UTOKEN を、IMS リソースに
アクセスするための権限の検証で使用するために IMS
OTMA に渡します。
- ユーザー ID は、次の 2 とおりの方法でアプリケーション・サーバーに提供されます。
- ユーザー ID とパスワードは、Java 認証・承認サービス
(JAAS) 別名で提供することができます。JAAS 別名は、IMS に
アクセスするアプリケーションにより使用される接続ファクトリーと関連付けられるか、
または WebSphere Application
Server のバージョンに応じてアプリケーションにより使用される EJB リソース参照と
関連付けられます。
アプリケーション・サーバーは、別名内のユーザー ID を表す UTOKEN を作成し、
これを IMS TM リソース・アダプターに
渡します。
- WebSphere Application
Server for z/OS は、
アプリケーションの実行スレッドに関連付けられたユーザー ID を取得するように
構成することができます。
アプリケーション・サーバーは、ユーザー ID を表す UTOKEN を作成し、
これを IMS TM リソース・アダプターに
渡します。
IMS
が実行する許可検査のレベルは、IMS コマンド
/SECURE OTMA によって制御されます。
このコマンドについて詳しくは、「IMS オープン・トランザクション管理アクセスの手引き」を参照してください。
Java2 セキュリティー・マネージャー
IMS
TM リソース・アダプターは、WebSphere Application
Server Java2 セキュリティー・マネージャーと連動します。 リソース・アダプターなどのコンポーネントは、ソケット呼び出しなどの保護タスクを実行できるように
許可されている必要があります。
IMS TM
リソース・アダプターは、
既にこれらのタスクの実行を許可されています。
Secure Sockets Layer (SSL) 通信
IMS TM リソース・アダプターおよび IMS Connect は、適切に構成されているならば TCP/IP の Secure Sockets Layer
プロトコルを使用して、相互間の通信を保護することができます。
SSL 接続は、通常の非 SSL TCP/IP 接続より保護機能が強固で、IMS Connect サーバーおよび、オプションで IMS TM リソース・アダプター・クライアントの認証を提供します。また SSL 接続で流れるメッセージは、暗号化されている場合があります。
Null 暗号化を持つ SSL は、認証は行われるがメッセージは暗号化されないという中間レベルのセキュリティーを提供します。
SSL Null 暗号化は、暗号化された通信の高いセキュリティーおよび低いスループットと、暗号化されていない SSL 通信の低いセキュリティーおよび高いスループットの間にトレードオフを提供します。非暗号化 SSL 通信は、IMS TM リソース・アダプターと IMS Connect 間を流れるメッセージごとに暗号化するのに必要なオーバーヘッドを除去するため、高いスループットを持ちます。