外部許可プロバイダー設定

このページを使用して、 Java™ Authorization Contract for Containers (JACC) プロバイダーを許可の決定に使用できるようにします。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 外部許可プロバイダー (External authorization providers)」をクリックします。

アプリケーション・サーバーは、すべての許可決定を実行するデフォルトの 許可エンジンを提供します。また、アプリケーション・サーバーは、JACC 仕様を使用して Java Platform, Enterprise Edition (Java EE) アプリケーションのデフォルトの許可エンジンを置換する、外部許可プロバイダーもサポートしています。

JACC は Java EE 仕様の一部で、これによって、 Tivoli® Access Manager などのサード・パーティーのセキュリティー・プロバイダーが、 アプリケーション・サーバーにプラグインして許可決定を行うことができます。

重要: 外部 JACC プロバイダーがない場合、または JACC に基づいた Java EE 許可を処理できる Tivoli Access Manager の JACC プロバイダーで使用しない場合、またこのプロバイダーをアプリケーション・サーバーで使用するように構成および設定していない場合は、「JACC プロバイダーを使用する外部許可」を使用可能にしないでください。
System Authorization Facility (SAF) 認証 [z/OS]

このオプションを使用して、Java 2 Platform, Enterprise Edition (Java EE) アプリケーション、 およびアプリケーション・サーバー・ランタイムに関連付けられた ロール・ベースの許可要求 (ネーミングおよび管理) の両方について、 ユーザーの役割許可に SAF EJBROLE プロファイルを使用するよう指定します。 このオプションは、 ご使用の環境が z/OS® ノードのみ設定されている場合に使用できます。

重要: このオプションを選択すると、WebSphere® Application Server は、z/OS セキュリティー製品に保管されている権限ポリシーを使用して、許可を付与することができます。
Lightweight Directory Access Protocol (LDAP) レジストリーまたはカスタム・レジストリーを構成し、 また SAF 許可を指定している場合、以下の protected メソッドを実行するには、ログインするたびに z/OS プリンシパルへのマッピングが必要となります。
  • 認証メカニズムが Lightweight Third Party Authentication (LTPA) である場合は、 以下の構成エントリーをすべて更新して、有効な z/OS プリンシパル (WEB_INBOUND、RMI_INBOUND、 DEFAULT など) へのマッピングを組み込むことを推奨します。
  • 認証メカニズムが Simple WebSphere Authentication Mechanism (SWAM) である場合は、SWAM 構成エントリーを更新して、 有効な z/OS プリンシパルへのマッピングを組み込む必要があります。
    注: SWAM は推奨されておらず、将来のリリースでは除去される予定です。

「関連項目」下の「z/OS ® SAF authorization」をクリックすると、複数の SAF 許可プロパティーが使用可能になります。com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress プロパティーの値を追加できます。このプロパティーを設定して、ICH408I メッセージをオンまたはオフにすることができます。このプロパティーのデフォルト値は false で、 この場合、メッセージは抑止されません。 この値を true に設定すると、ICH408I メッセージを抑止できます。

このプロパティーは、 ネーミングおよび管理サブシステムの、 アプリケーション定義役割とアプリケーション・サーバー・ランタイム役割の 両方に関する、アクセス違反のメッセージ生成に影響します。 システム管理機能 (SMF) レコードは、このプロパティーにより影響を受けません。EJBROLE プロファイル検査は、宣言 (デプロイメント記述子) およびプログラマチック検査の両方に行われます。
  • 宣言検査は Web アプリケーションでセキュリティー制約としてコーディングされ、 デプロイメント記述子はエンタープライズ Bean でセキュリティー制約としてコーディングされます。このプロパティーは、この場合のメッセージを制御するために使用されません。 その代わり、許可される役割セットがあり、アクセス違反が発生すると、ICH408I アクセス違反メッセージが 役割の 1 つに障害が発生したことを示します。SMF はその後、(その役割の) 単一のアクセス違反をログに記録します。
  • プログラム・ロジック検査 (またはアクセス検査) は、エンタープライズ Bean の場合はプログラマチック isCallerinRole(x) を、 Web アプリケーションの場合は isUserInRole(x) を使用して実行されます。 com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress プロパティーは、 この呼び出しによって生成されるメッセージを制御します。
外部 JACC プロバイダー

このリンクを使用して、外部 JACC プロバイダーを使用するように、アプリケーション・サーバーを構成します。例えば、外部 JACC プロバイダーを構成するには、 JACC 仕様ではポリシー・クラス名やポリシー構成ファクトリー・クラス名が必要です。

このリンクに含まれるデフォルトの設定は、 Tivoli Access Manager が許可決定を実行するために使用します。別のプロバイダーを使用する場合は、 必要に応じて設定を変更してください。

プロバイダーを更新しない

セキュリティー・ポリシーおよび役割が、外部の JACC プロバイダーに伝搬されないことを指定します。

すべてのアプリケーションでの更新

すべてのアプリケーションに対して、セキュリティー・ポリシーおよび役割が、外部の JACC プロバイダーに伝搬されることを指定します。

リストされたアプリケーション名の更新

選択したアプリケーションに対して、セキュリティー・ポリシーおよび役割が外部 JACC プロバイダーに伝搬されるように指定します。

「構成」タブ

組み込み許可

Tivoli Access Manager などの外部セキュリティー・プロバイダーで JACC 仕様に基づいた Java EE アプリケーションの許可決定を実行する場合以外は、常にこのオプションを使用します。

デフォルト: 使用可能



マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク
関連資料
外部の Java Authorization Contract for Containers プロバイダーの設定
[z/OS] z/OS System Authorization Facility の許可


ファイル名: usec_jaccprovider.html