![[z/OS]](../images/ngzos.svg)
WebSphere Application Server for z/OS のセキュリティーに関する考慮事項
WebSphere® Application Server for z/OS®のセキュリティーに関するヘルプについては、以下の情報を参照してください。
WebSphere Application Server for z/OS でサポートされる機能
WebSphere Application Server for z/OS は、以下の機能をサポートしています。
| 機能 | 追加情報 |
|---|---|
| RunAs EJB | 詳しくは、 代行を参照してください。 |
| サーブレット用 RunAs | 詳しくは、 代行を参照してください。 |
| SAF ベースの IIOP プロトコル | 詳しくは、 Common Secure Interoperability Version 2 and Security Authentication Service (SAS) クライアント構成を参照してください。 |
| z/OS コネクター機能 | 詳しくは、 リソース・リカバリー・サービス (RRS)を参照してください。 |
| 管理セキュリティー | 詳しくは、 管理セキュリティーを参照してください。 |
| アプリケーション・セキュリティー | 詳しくは、 アプリケーション・セキュリティーを参照してください。 |
| Java 2 セキュリティー | 詳しくは、 Java 2 セキュリティーを参照してください。 |
| セキュリティーを使用不可にします | 詳しくは、 管理セキュリティーの無効化を参照してください。 |
| SAF 鍵リング | 詳しくは、 Java Secure Sockets Extension での System Authorization Facility 鍵リングの使用を参照してください。 |
| 認証機能 | 認証機能の例: 基本認証、SSL デジタル証明書、フォーム・ベースのログイン、 セキュリティー制約、トラスト・アソシエーション・インターセプター |
| J2EE セキュリティー・リソース | 詳しくは、 タスクの概要: リソースの保護を参照してください。 |
| Web 認証 (LTPA) | 詳しくは、 LTPA メカニズムの構成を参照してください。 |
| LTPA を使用する IIOP | 詳しくは、「 Lightweight Third Party Authentication」を参照してください。 |
| WebSphere アプリケーション・バインディング | WebSphere アプリケーション・バインディングを使用して、ユーザーからロールへのマッピングを提供することができます。 |
| Synch to OS Thread | 詳しくは、 Java スレッド ID およびオペレーティング・システム・スレッド IDを参照してください。 |
| SAF レジストリー | 詳しくは、 レジストリーまたはリポジトリーの選択を参照してください。 |
| ID アサーション | 詳しくは、 ID アサーションを参照してください。 |
| 認証プロトコル | 例: z/SAS、CSIV2 詳しくは、 認証プロトコルのサポートを参照してください。 |
| CSIv2 適合レベル "0" | 詳しくは、 セキュリティー計画の概要を参照してください。 |
| JAAS プログラミング・モデル WebSphere 拡張機能 | 詳しくは、 Web 認証のための Java 認証・承認サービス・プログラミング・モデルの使用を参照してください。 |
| SAF を使用した分散 ID マッピング | 詳しくは、 SAF を使用した分散 ID マッピング を参照してください。 |
すべての基本 WebSphere Application Serverは、以下の機能を提供します。
- RunAs の使用: RunAs は、呼び出し元、サーバー、またはロールの ID を変更するために使用します。 この指定はサーブレット仕様に含まれるようになりました。
- SAF ベースの IIOP 認証プロトコルのサポート: WebSphere Application Server Network Deployment は、Internet Inter-ORB Protocol (IIOP) 認証に Secure Authentication Service (SAS) を使用します。 z/OS には、 z/OS Secure Authentication Services (z/SAS) と呼ばれる独自のバージョンの SAS (機能は似ていますが、メカニズムは異なります) があり、ローカル・セキュリティー、Secure Sockets Layer (SSL) ベースの許可、System Authorization Facility (SAF) マッピングを使用したデジタル証明書、および SAF ID アサーションなどの機能を処理します。重要: z/SAS は、バージョン 6.0.x と、バージョン 6.1 セルに統合された以前のバージョンのサーバーとの間でのみサポートされます。
- SAF ベースの許可および RunAs 機能: 許可および代行セキュリティー情報の SAF (EJBROLE) プロファイルを使用します。
- z/OS コネクター機能のサポート: ユーザー ID とパスワードが保管されている場所で別名を使用する代わりに、ローカル OS ID を伝搬する機能がサポートされています。
- HTTP および IIOP の SAF 鍵リング・サポート: HTTP、IIOP、 および SAF 鍵リング・サポートで SystemSSL を使用します。 JSSE を使用することもできます。
- 認証機能: 基本、SSL デジタル証明書、フォーム・ベースのログイン、セキュリティー制約、およびトラスト・アソシエーション・インターセプターなどの Web 認証メカニズムは、バージョン 5 で提供されるのと同じ機能を バージョン 8.5 で提供します。
- J2EE リソースの許可: Java 2 Platform, Enterprise Edition (J2EE) リソースの許可は、バージョン 4 で使用されるものと同様のロールを使用し、これらのロールは記述子として使用されます。
- セキュリティーの使用可能化: セキュリティーは、 グローバルに使用可能とすることも使用不可とすることもできます。 サーバーの起動時にあるレベルのセキュリティーが設定されますが、 管理者がセットアップするまでは使用不可の状態です。
- LTPA および SWAM を使用した Web 認証: Lightweight Third Party Authentication (LTPA) または Simple WebSphere Authentication Mechanism (SWAM) を使用したシングル・サインオン (SSO) がサポートされています。注: SWAM は、 WebSphere Application Server バージョン 8.5 では推奨されておらず、将来のリリースでは除去される予定です。
- LTPA による IIOP 認証: LTPA による IIOP 認証がサポートされています。
- WebSphere 許可のアプリケーション・バインディング: WebSphere 許可のアプリケーション・バインディングがサポートされるようになりました。
- Synch to OS Thread: Application Synch to OS Thread がサポートされています。
- J2EE ロール・ベース・ネーミング・セキュリティー: 名前空間へのアクセスを保護するのに J2EE ロールが使用されます。 新規のロールとタスクは cosNamingRead、cosNamingWrite、cosNamingCreate、および cosNamingDelete です。
- ロール・ベースの管理セキュリティー: セキュリティーを区切るロールには以下があります。
- モニター (許可が最も少なく、読み取り専用)
- オペレーター (ランタイム変更の実行が可能)
- コンフィギュレーター (特権のモニターおよび構成が可能)
- 管理者 (ほとんどの許可)
- デプロイヤー (アプリケーションでの構成アクションおよびランタイム操作用に 、wsadmin で使用されます)
- Adminsecuritymanager (ユーザーを管理ロールにマップし、許可グループを管理できます)
管理ロールについて詳しくは、「 管理ロール」を参照してください。
WebSphere Application Server for z/OS と他の WebSphere Application Server プラットフォームとの比較
主要な
類似点:
- プラグ可能セキュリティー・モデル: プラグ可能セキュリティー・モデルは、IIOP Common Secure Interoperability バージョン 2 (CSIv2)、Web トラスト認証、Java Management Extensions (JMX) コネクター、または Java 認証・承認サービス (JAAS) プログラミング・モデルで認証できます。 以下のことを行う必要があります。
- 該当のレジストリーと必要な認証 (トークン) メカニズムを決定します。
- レジストリーがローカルかリモートかを判別し、どの Web 許可を使用するかを決定します。Web 許可には、Simple WebSphere 認証メカニズム (SWAM) および Lightweight Third-Party Authentication (LTPA) が含まれます。注: SWAM は、 WebSphere Application Server バージョン 8.5 では推奨されておらず、将来のリリースでは除去される予定です。
主な相違点は以下のとおりです。
- SAF レジストリー: ローカル・オペレーティング・システム・レジストリーは、 z/OS 上でプレミアム機能を提供します。これは、 z/OS が単一サーバーではなくシスプレックスにまたがるためです。 z/OS は、証明書からユーザーへのマッピング、許可、および代行機能を提供します。
- ID アサーション: 表明を行うサーバーに必要な許可を得るには、 トラステッド・サーバーまたは CBIND を使用します。 分散プラットフォームでは、 トラステッド・サーバー・リストにサーバーを配置する必要があります。 z/OS では、サーバー ID が特定の CBIND 許可を持っている必要があります。 表明の種類には、SAF ユーザー ID、識別名 (DN)、 および SSL クライアント証明書があります。
- IIOP クライアント用の zSAS および SAS 認証プロトコル: z/SAS は、 RACF® PassTicketsをサポートしているため、SAS とは異なります。 WebSphere Distributed の SAS 層は、Common Object Request Broker Architecture (CORBA) ポータブル・インターセプターを使用して Secure Association Service を実装しますが、 z/OS は実装しません。
- CORBA の機能:z/OSCORBAの現在のバージョンを含むCORBAセキュリティインターフェースをサポートしていません。LoginHelper,資格情報、およびServerSideAuthenticatorモデル。 CORBA 機能は JAAS にマイグレーション済みです。
LoginHelp アプリケーション・プログラミング・インターフェース (API) は、 WebSphere Application Server バージョン 8.5で非推奨になりました。 詳しくは、 Java 認証・承認サービス (CORBA および JAAS) への Common Object Request Broker Architecture プログラマチック・ログインのマイグレーションを参照してください。
- 認証プロトコル: CSIv2 は、 z/OS Security Server のオブジェクト管理グループ (OMG) 仕様であり、 WebSphere セキュリティーが使用可能になると自動的に使用可能になります。 これは、3 層のアプローチで、メッセージ保護のための Secure Sockets Layer Transport Layer Security (SSL/TLS)、ユーザー ID およびパスワードの補足クライアント認証層である Generic Security Services Username Password (GSSUP)、および ID アサーションに中間サーバー (ターゲット・サーバーに対して特に許可を得る必要があるもの) で使用するセキュリティー属性層から成ります。
J2EE 1.3 準拠
J2EE に準拠させるには、以下のことが必要です。
- CSIv2 規格適合レベル「0」: これは、( z/OS Security Server に関連する) オブジェクト管理グループ (OMG) 仕様であり、CORBA サポートの一部として使用されています。 セキュリティーを使用可能にすると、CSIv2 も自動的に使用可能になります。
- Java 2 セキュリティーの使用: セキュリティーが有効になっており、Java 2 セキュリティーが有効になっており、 Java2 のデフォルトは onです。 これには、 サブジェクト・ベースの許可とは反対のコード・ベースの許可である、 きめ細かいアクセス制御が用意されています。 各クラスともある特定のドメインに属します。 Java 2 セキュリティーによって保護されるアクセス権には、ファイル・アクセス、ネットワーク・アクセス、ソケット、既存の Java 仮想マシン (JVM)、プロパティーの管理、およびスレッドが含まれます。 セキュリティー・マネージャーは、Java 2 がセキュリティーを管理し、必要な保護を実施するためのメカニズムとして使用するものです。 Java 2 セキュリティーの拡張機能には、動的ポリシー (コード・ベースではなくリソース・タイプ・ベースのアクセス権) の使用、テンプレート・プロファイル内のリソースに定義された特定のデフォルトのアクセス権の使用、およびポリシーを無効にするためのフィルター・ファイルの使用が含まれます。
- JAAS プログラミングの使用: JAAS プログラミングには、認証用の API の標準セットが組み込まれています。 JAAS は、戦略的な許可および認証メカニズムです。 IBM® Developer Kit for Java Technology Edition バージョン 5 は、 WebSphere バージョン バージョン 8.5に付属していますが、いくつかの拡張機能が提供されています。
- サーブレットの RunAs 機能の使用: 分散プラットフォーム ( z/OS プラットフォームではない) 上の WebSphere Application Server では、この機能を 代行ポリシーと呼びます。 システム、呼び出し元、またはロール (ユーザー) として実行するように ID を変更できます。 この機能はサーブレット仕様に含まれるようになりました。 認証では、ユーザー ID およびパスワードを使用し、 次に、該当する XML ファイルまたは EJBROLE への別名のマッピングを行い、RunAs ロールのユーザー ID を検出します。
API/SPI レベルでの WebSphere Application Server Network Deployment への準拠
アプリケーション・プログラミング・インターフェースまたはサービス・プロバイダー・プログラミング・インターフェース (API/SPI) レベルの WebSphere Application Server Network Deployment への準拠により、 z/OS上の WebSphere Application Server Network Deployment からのアプリケーションのデプロイが容易になります。 WebSphere Application Server Network Deployment によって拡張または非推奨になった機能は、 z/OSによって拡張または非推奨になっています。 ただし、これは z/OS のお客様にマイグレーションがないことを意味するものではありません。 API/SPI レベルでの WebSphere WebSphere Application Server Network Deployment への準拠には、以下が含まれます。
- WebSphere Application Server の JAAS プログラミング・モデルに対する拡張機能: 許可モデルは、 JAAS プログラミング用の Java 2 セキュリティー・モデルの拡張機能です (したがって、 J2EE モデルで機能します)。 サブジェクト・ベースの許可は、認証済みのユーザー ID で実行されます。 単にユーザー ID とパスワードを使用してログインする代わりに、 ログイン・プロセスが用意されました。 これにより、ログイン・コンテキストを作成し、 ユーザー ID およびパスワードに対してプロンプトを出すコールバック・ハンドラーを渡して、 ログインします。 WebSphere Application Serverのためにz/OSログインモジュール、必要なデータを取得するためのコールバックハンドラ、コールバック、WSSubjectの選択を提供します。getCallerSubject,そしてgetRunAsSubject。
- WebSphere Application Server セキュリティー API の使用: z/OS は、 WebSphere Application Server セキュリティー API をサポートします。
- セキュアな JMX コネクターの使用: JMX コネクターは、 ユーザー ID とパスワード・クレデンシャルを用いて使用することができます。 コネクターには RMI と SOAP/HTTPS の 2 種類があります (これらは管理用です)。 SOAP コネクターは、JSSE SSL リポジトリーを使用します。 RMI コネクターには、 IIOP メカニズム (CSIv2 など) と同じ利点および制約事項があります。