トークン認証

トークン認証は、統一された方式で Db2® サーバーへの認証に使用できるようにトークンを汎用化するためのメカニズムです。 文字列およびトークン・タイプとして表されたトークンは、クライアントからサーバーに送信されます。 クライアントにはトークンの内部は見えませんが、サーバーはトークンを認識して検証できます。

現在、 Db2 は JSON Web トークン (JWT) をサポートしています。

トークンは、ユーザー ID とパスワードの代わりに使用されます。 トークンは、ユーザーの ID とその ID の証明を 1 つのエンティティーとしてカプセル化します。 トークンは Db2 の外部で生成され、 connect ステートメントで入力として渡されます。 同じトークンを複数のサービスに使用するアプリケーションまたは ID プロバイダーで生成されたトークンでは、一種のシングル・サインオン (SSO) を利用できます。

データベース・サーバーへの接続を確立するすべてのインターフェースが、ユーザー ID とパスワードの代わりにトークンを受け入れるわけではなく、明示的に実行される CONNECT ステートメントのみが、トークンを受け入れます。 ローカルで暗黙的な接続を確立する (ユーザー ID もパスワードも指定しない) ツールの場合は、環境からデフォルトのトークンを取得するメカニズムがないので、必ず、SERVER_ENCRYPT などの追加の認証メカニズムとともにトークン認証を構成する必要があります。

Db2 サーバーでトークン認証を構成するには、まずトークンの検証方法の詳細を含むトークン構成ファイルを作成し、次に SRVCON_AUTH データベース・マネージャー構成パラメーターを * _TOKEN 値のいずれかに設定します。

クライアント側でトークン認証を使用するように構成するには、まず必要な認証メカニズムとして TOKEN を設定し、次に CONNECT ステートメントへの入力としてトークンとタイプを渡します。

グループのメンバーシップについてはトークンは使用されません。ユーザーのグループの検索には、構成されたグループ・プラグインが使用されます。

トークン認証とは、 Db2 サーバーがトークンの内容を直接検証し、ユーザーを認証する機能のことです。 ほかにも、GSSAPI ベースのセキュリティー・プラグインが、トークンを入力として取ることができます。 これはトークン認証とは見なされず、トークンが入力されるだけのプラグイン認証にすぎません。 クライアントの構成方法によって、使用されるセキュリティー・メカニズムが決まります。