IMS™ などの
Enterprise Information System (EIS) 内の情報は、無許可アクセスから保護する必要があります。J2EE Connector Architecture (J2C)
では、アプリケーション・サーバーおよび EIS を共同させ、認証済みユーザ
ーのみが EIS にアクセスできること保証する必要があることが指定されています。J2C セキュリティー・アーキテクチャーは、J2EE
ベースのアプリケーションのエンドツーエンド・セキュリティー・モデルを EIS との統合を含むように拡張します。
EIS サインオン
J2C セキュリティー・アーキテクチャーは、EIS 特定のユーザー ID およびパスワード認証メカニズムをサポートします。詳しくは、WebSphere®
Application Server 資料の『Java™ 2 Connector セキュリティー』を参照してください。
ターゲット EIS のユーザー ID およびパスワードは、アプリケーション・コンポーネント
(コンポーネント管理サインオン)、またはアプリケーション・サーバー
(コンテナー管理サインオン) のいずれかによって提供されます。
IMS リソース・アダプターの場合、IMS がターゲット EIS です。セキュリティー情報は IMS リソース・アダプターに渡され、そこから
IMS Connect に渡されます。IMS Connect は、この情報を使用してユーザー認証を
実行し、それを IMS OTMA に渡します。IMS OTMA もこの情報を使用して、IMS に
アクセスするための認証の検証を行います。
一般的な環境では、IMS リソース・アダプターは、受け取ったセキュリティー
情報 (ユーザー ID、パスワード、およびオプションのグループ名) を、IMS
OTMA メッセージに組み込んで IMS Connect に渡します。セキュリティー構成によっては、IMS Connect がその後でホストのセキュリティー
許可機能 (SAF) を呼び出すことがあります。
- TCP/IP を使用する分散プラットフォームまたは z/OS® 上の WebSphere Application
Server は、コンポーネント管理サインオンまたはコンテナー管理サインオン、
あるいはコンポーネント管理サインオンを使う Local Option を使用して、
以下のことを行います。
- IMS Connect 構成メンバーで RACF=Y が設定されている場合、または IMS
Connect コマンド SETRACF ON が
発行されている場合には、IMS Connect は SAF を呼び出し、IMS Connector for
Java が OTMA メッセージに組み込んで渡したユーザー ID およびパスワードを使用して、認証を実行します。認証が成功した場合、ユーザー ID、オプションのグループ名、および SAF への IMS Connect 呼び出しから戻された UTOKEN は、IMS OTMA に渡されて、IMS にアクセスするための権限の検証に使用されます。
- IMS Connect 構成メンバーで RACF=N が設定されている場合、または IMS
Connect コマンド SETRACF OFF が
発行されている場合には、IMS Connect は SAF を呼び出しません。
ただし、この場合でも、ユーザー ID およびオプションのグループ名は、IMS に
アクセスするための権限の検証で使用するために、IMS OTMA に渡されます。
- Local Option を使用して z/OS で
実行される WebSphere
Application Server の場合、コンテナー管理サインオンを使用して、
以下のことを行います。
- (IMS
Connect 構成メンバーまたは SETRACF コマンドのいずれかの) IMS Connect の RACF パラメーターの値に関係なく、IMS Connect は
SAF を呼び出しません。これは、既に WebSphere
Application Server for z/OS によって
認証が行われているためです。
WebSphere Application Server for z/OS が RACF を
呼び出す際に生成される UTOKEN は、IMS に
渡されて、IMS にアクセスするための認証の検証に
使用されます。
- WebSphere Application
Server for z/OS は、
実行スレッドに関連付けられた RunAs ID を使用してユーザーを認証するように
構成することができます。この ID は、通常、スレッド ID と呼ばれます。アプリケーション・サーバーは、ユーザー ID を表す UTOKEN を作成して、それを
IMS リソース・アダプターに渡します。
IMS リソース・アダプターは、IMS に
サインオンするために、そのトークンを IMS Connect に渡します。
WAS における RunAs Identity サポートについては、WebSphere Application
Server z/OS の
セキュリティー資料を参照してください。
IMS が実行する
許可検査のレベルは、IMS コマンド
/SECURE OTMA によって制御されます。このコマンドについて詳しくは、「IMS オープン・トランザクション管理アクセスの手引き」を参照してください。
Java2 セキュリティー・マネージャー
IMS リソース・
アダプターは、WebSphere Application
Server Java2 Security Manager と連動して機能します。リソース・アダプターなどのコンポーネントは、ソケット呼び出しなどの保護タスクを実行できるように
許可されている必要があります。
IMS リソース・アダプターは、既にこれらのタスクの実行を許可されています。アプリケーション・コンポーネントによるアクションは必要ありません。
Java2
Security Manager の詳細については、WebSphere Application
Server 資料の『保護されたアプリケーションの管理』を参照してください。