IMS TM リソース・アダプター・セキュリティー

J2EE コネクター・アーキテクチャー (JCA) では、アプリケーション・サーバーとエンタープライズ情報システム (EIS) 内の情報との共同作業により、認証済みのユーザーのみが EIS にアクセスできることを保証する必要があることが指定されています。

JCA セキュリティー・アーキテクチャーは、 Java EE ベースのアプリケーションのエンドツーエンド・セキュリティー・モデルを、EIS との統合を含むように拡張します。 IMS™ TM リソース・アダプターは、J2EE コネクター・アーキテクチャーのセキュリティー・アーキテクチャーに準拠し、WebSphere® Application ServerJava 2 Security Manager と連動します。

EIS サインオン

JCA セキュリティー・アーキテクチャーは、EIS 固有のユーザー ID およびパスワード認証メカニズムをサポートします。 ターゲット EIS にサインオンするために使用するユーザー ID とパスワードは、アプリケーション・コンポーネント (コンポーネント管理サインオン)、またはアプリケーション・サーバー (コンテナー管理サインオン) のいずれかによって提供されます。

IMS TM リソース・アダプターの場合、IMS がターゲット EIS です。 このアプリケーション・コンポーネントまたはアプリケーション・サーバーにより提供されるセキュリティー情報は、IMS TM リソース・アダプターに渡されます。 次に IMS TM リソース・アダプターはこの情報を IMS Connect に渡します。 IMS Connect は、この情報を使用してユーザー認証を実行し、その情報を IMS OTMA に渡します。 IMS OTMA は次に、この情報を使用して一定の IMS リソースに アクセスするための権限を検証します。

標準的な環境では、IMS TM リソース・アダプター は、受け取ったセキュリティー情報 (ユーザー ID、パスワード、およびオプションのグループ名) を、IMS OTMA メッセージに組み込んで IMS Connect に渡します。 IMS Connect は、そのセキュリティー構成によって、次にホストのセキュリティー許可機能 (SAF) を呼び出すことがあります。
  • TCP/IP を使用する分散プラットフォームまたは z/OS® 上の WebSphere Application Server は、コンポーネント管理サインオンまたはコンテナー管理サインオンのいずれかを使用して、以下のことを行います。
    • IMS Connect 構成メンバーで RACF=Y が設定されている場合、または IMS Connect コマンド SETRACF ON が発行されている場合には、IMS Connect は SAF を呼び出し、IMS TM リソース・アダプターが OTMA メッセージに組み込んで渡したユーザー ID およびパスワードを使用して、認証を実行します。 認証が成功した場合、SAF への IMS Connect 呼び出しから戻されたユーザー ID、オプションのグループ名、および UTOKEN が IMS OTMA に渡されて、IMS リソースにアクセスするための権限の検証に使用されます。
    • IMS Connect 構成メンバーで RACF=N が設定されている場合、または IMS Connect コマンド SETRACF OFF が発行されている場合には、IMS Connect は SAF を呼び出しません。 ただし、ユーザー ID とグループ名が指定されていれば、IMS リソースへのアクセス許可のために、IMS OTMA に渡されます。
  • ローカル・オプションおよびコンテナー管理 EIS サインオンを使用する WebSphere Application Server for z/OS の場合、ユーザー認証はアプリケーション・サーバーによってのみ実行されます。 ユーザー認証は、IMS Connect 構成メンバーの RACF® 設定、または SETRACF コマンドの結果に関係なく、IMS Connect では実行されません。 WebSphere Application Server for z/OS は RACF を呼び出してから、ユーザー ID を表すユーザー・トークンを IMS TM リソース・アダプターに渡します。 次に IMS TM リソース・アダプターは、このユーザー・トークンを IMS Connect に渡します。 IMS Connect は、ユーザー・トークンを確認しても、SAF を呼び出しません。 これは、WebSphere Application Server for z/OS によって既に認証が実行されているためです。 IMS Connect は、IMS リソースにアクセスするための権限の検証用に、ユーザー・トークンを IMS OTMA に渡します。
  • ユーザー ID は、以下の 2 とおりの方法でアプリケーション・サーバーに提供できます。
    • ユーザー ID とパスワードは、Java 認証・承認サービス (JAAS) 別名で提供することができます。JAAS 別名は、IMS にアクセスするアプリケーションにより使用される接続ファクトリーと関連付けられるか、または WebSphere Application Server のバージョンに応じてアプリケーションによって使用される EJB リソース参照と関連付けられます。 アプリケーション・サーバーは、別名内のユーザー ID を表すユーザー・トークンを作成して、IMS TM リソース・アダプターに渡します。
    • WebSphere Application Server for z/OS は、 アプリケーションの実行スレッドに関連付けられたユーザー ID を取得するように 構成することができます。 アプリケーション・サーバーは、このユーザー ID を表すユーザー・トークンを作成して、IMS TM リソース・アダプターに渡します。

IMS が実行する許可検査のレベルは、IMS コマンド /SECURE OTMA によって制御されます。

Secure Sockets Layer (SSL) 通信

IMS TM リソース・アダプターおよび IMS Connect は、適切に構成されていれば、TCP/IP の SSL プロトコルを使用して、相互間の通信を保護することができます。

SSL 接続は、TCP/IP 接続 (非 SSL) よりも保護機能が強固であり、IMS Connect サーバーの認証および、オプションで IMS TM リソース・アダプター・クライアントの認証を提供します。 また SSL 接続で流れるメッセージは、暗号化されている場合があります。

Null 暗号化による SSL は、認証は行われるがメッセージは暗号化されないという中間レベルのセキュリティーを提供します。 SSL Null 暗号化は、よりセキュリティーの高い暗号化通信を提供しますが、スループットは低くなります。 非暗号化 SSL 通信では、IMS TM リソース・アダプターと IMS Connect の間を流れる各メッセージを暗号化するのに必要なオーバーヘッドが除かれるため、より高いスループットが提供されます。


フィードバック