プラグ可能な認証モジュールについて

プラグ可能な認証モジュールを使用すると、安全な認証体制を実施して、TDV を介してアクセスされるリソースへのアクセスを規制できます。アクティブな各認証モジュールは、参照される場合、次のいずれかを実行する必要があります。

サイン オン時のアクション

資格情報が以下の場合

中止

  

承認

  

不適格

  

モジュールは、セッションのセキュリティ コンテキストに情報を追加することもできます。

TDV を使用してユーザーおよびグループのアクセス プロファイルを定義した後、PAM セキュリティプロトコルの階層化を開始できます。同じサーバー上で 1 つ以上の重複する PAM 実装を使用して、目的のレベルのユーザーID を実現できます。

PAM を実装するログイン モジュールは、ヘッダー、プロパティ、証明書のデータ、および提供されたユーザー名とパスワードに基づいて認証を決定します。

認証場所

説明

HTTP ヘッダー

着信 HTML ヘッダーは認証モジュールに渡されます。

JMS プロパティ

着信メッセージ オブジェクトに関連付けられたプロパティは、認証モジュールに渡されます。

SOAP ヘッダー

着信 SOAP エンベロープの SOAP ヘッダーエレメント内の各個別エレメントは、エレメントの QName によってキー設定された、提供されたプロパティのリストに追加されます。存在する場合、ヘッダー値は org.apache.axiom.om.OMElement のインスタンスによって表されます。これは、AuthenticationFilter および WsapiServlet エントリーポイントに適用されます。

JDBC/ODBC/ADO.NET プロパティ

TDV に渡すには、値を単一の固定された既知のプロパティ名にエンコードする必要があります。ADO.NET および ODBC は、プロパティの区切り文字としてセミコロンを使用します。JDBC はアンパサンドを使用します。

ユーザーの読みやすさと RFC-2396 との互換性のために、URL 形式のセキュリティ トークンは「user_tokens= ( "NAME"="VALUE ("、 "NAME"="VALUE) *") 」を使用して渡されます。NAME または VALUE 内の英数字以外の文字は、URL エンコードする必要があります。

GUI サポートは、処理の前に括弧文字を削除し、すべての空白文字を削除します。ユーザー トークンの値が ODBC または ADO.NETUI を介して指定され、ユーザー指定の値で上書きされた場合、ユーザー トークンの値全体が置き換えられます。

受信 SSL 証明書

ユーザーが相互認証された SSL を介して TDV に接続する場合、接続の公開証明書がセキュリティ コンテキストに追加され、PAM モジュールで使用されます。