IMS リソース・アダプター・セキュリティー

IMS™ などの Enterprise Information System (EIS) 内の情報は、無許可アクセスから保護する必要があります。 J2EE Connector Architecture (J2C) では、アプリケーション・サーバーおよび EIS を共同させ、認証済みユーザーのみが EIS にアクセスできること保証する必要があることが指定されています。J2C セキュリティー・アーキテクチャーは、J2EE ベースのアプリケーションのエンドツーエンド・セキュリティー・モデルを EIS との統合を含むように拡張します。

EIS サインオン

J2C セキュリティー・アーキテクチャーは、EIS 特定のユーザー ID およびパスワード認証メカニズムをサポートします。詳しくは、WebSphere® Application Server 資料の『Java™ 2 Connector セキュリティー』を参照してください。

ターゲット EIS のユーザー ID およびパスワードは、アプリケーション・コンポーネント (コンポーネント管理サインオン)、またはアプリケーション・サーバー (コンテナー管理サインオン) のいずれかによって提供されます。

IMS Connector for Java の場合、IMS がターゲット EIS です。セキュリティー情報は IMS リソース・アダプターに渡され、そこから IMS Connect に渡されます。IMS Connect は、この情報を使用してユーザー認証を実行し、それを IMS OTMA に渡します。 IMS OTMA もこの情報を使用して、IMS にアクセスするための権限の検証を行います。

一般的な環境では、IMS リソース・アダプターは、受け取ったセキュリティー 情報 (ユーザー ID、パスワード、およびオプションのグループ名) を、IMS OTMA メッセージに組み込んで IMS Connect に渡します。セキュリティー構成によっては、IMS Connect がその後でホストのセキュリティー 許可機能 (SAF) を呼び出すことがあります。
  • TCP/IP を使用する分散プラットフォームまたは z/OS® 上の WebSphere Application Server は、コンポーネント管理サインオンまたはコンテナー管理サインオンのいずれかを使用して、以下のことを行います。
    • IMS Connect 構成メンバーで RACF=Y が設定されている場合、または IMS Connect コマンド SETRACF ON が 発行されている場合には、IMS Connect は SAF を呼び出し、IMS Connector for Java が OTMA メッセージに組み込んで渡したユーザー ID およびパスワードを使用して、認証を実行します。認証が成功した場合、ユーザー ID、グループ名、および SAF への IMS Connect 呼び出しから戻された UTOKEN が IMS OTMA に渡されて、IMS にアクセスするための権限の検証に使用されます。
    • IMS Connect 構成メンバーで RACF=N が設定されている場合、または IMS Connect コマンド SETRACF OFF が 発行されている場合には、IMS Connect は SAF を呼び出しません。 ただし、この場合でも、ユーザー ID とグループ名は、IMS にアクセスするための権限の検証で使用するために、IMS OTMA に渡されます。
  • Local Option を使用する z/OS 上の WebSphere Application Server は、コンポーネント管理サインオンまたはコンテナー管理サインオンのいずれかを使用して、以下のことを行います。
    • IMS Connect 構成メンバーまたは SETRACF コマンド内の RACF® 設定に関係なく、IMS Connect は SAF を呼び出しません。 これは、すでに WebSphere Application Server for z/OS によって認証が行われているためです。 WebSphere Application Server for z/OS が RACF を呼び出す際に生成される UTOKEN は、IMS に渡されて、IMS にアクセスするための権限の検証に使用されます。
    • WebSphere Application Server for z/OS は、実行スレッドに関連付けられたユーザー ID を使用してユーザーを認証するように構成することができます。アプリケーション・サーバーは、ユーザー ID を表す UTOKEN を作成して、それを IMS リソース・アダプターに渡します。次に IMS リソース・アダプターは、IMS にサインオンするために、そのトークンを IMS Connect に渡します。 WAS における RunAs Identity サポートについては、WebSphere Application Server z/OS のセキュリティー資料を参照してください。

IMS が実行する許可検査のレベルは、IMS コマンド /SECURE OTMA によって制御されます。このコマンドについて詳しくは、「IMS オープン・トランザクション管理アクセスの手引き」を参照してください。

Java2 セキュリティー・マネージャー

IMS リソース・アダプターは、WebSphere Application Server Java2 Security Manager と連動して機能します。リソース・アダプターなどのコンポーネントは、ソケット呼び出しなどの保護タスクを実行できるように 許可されている必要があります。 IMS リソース・アダプターは、既にこれらのタスクの実行を許可されています。アプリケーション・コンポーネントによるアクションは必要ありません。

Java2 Security Manager について詳しくは、WebSphere Application Server 資料の『保護されたアプリケーションの管理』を参照してください。

関連概念
コンポーネント管理 EIS サインオン
コンテナー管理 EIS サインオン
Secure sockets layer (SSL) の概要
関連タスク
コンポーネント管理 EIS サインオンの構成
コンテナー管理 EIS サインオンの構成
Secure Socket Layer (SSL) サポートの使用
ご利用条件 | フィードバック
(C) Copyright IBM Corporation 2000, 2005. All Rights Reserved.
(C) Copyright IBM Japan 2005.