Application Server は次のエンティティに対して認証および承認ポリシーを実施します。
注: ユーザーおよびグループは Application Server 全体で指定されますが、各アプリケーションは独自のロールを定義します。アプリケーションがパッケージ化されて配備される場合、次の図に例示されているように、アプリケーションはユーザーまたはグループとロールとの間のマッピングを指定します。
ユーザーとは、Application Server によって定義された個別またはアプリケーションプログラムの ID です。ユーザーは 1 つのグループと関連付けできます。Application Server の認証サービスは、複数のレルムでユーザーを管理できます。
J2EE グループ (または単にグループ) は、肩書きや顧客のプロファイルなど、共通の特性で分類されたユーザーのカテゴリです。たとえば、E コマースアプリケーションのユーザーは CUSTOMER
グループに属しますが、お得意様は PREFERRED
グループに属します。ユーザーをグループに分類すると、ユーザーからの大量のアクセスを制御することが容易になります。
ロールでは、ユーザーがどのアプリケーション、および各アプリケーションのどの部分にアクセスできるか、また何ができるかを定義します。つまり、ロールでユーザーの承認レベルが決まります。
たとえば、人事アプリケーションの場合、電話番号とメールアドレスにはすべての社員がアクセスできますが、給与情報にアクセスできるのは管理職だけです。このアプリケーションには、少なくとも次の 2 つのロールが必要です。それは、employee
および manager
で、manager
ロールのユーザーだけに給与情報の表示が許可されます。
ロールはアプリケーション内での役割を定義するのに対し、グループはある方法で関連付けられているユーザーの集まりに過ぎません。この点で、ロールとユーザーグループは異なります。たとえば、人事アプリケーションには、full-time
、part-time
、および on-leave
などのグループがありますが、これらすべてのグループのユーザーは employee
ロールに所属します。
ロールはアプリケーション配備記述子で定義されます。反対に、グループはサーバーおよびレルム全体に対して定義されます。アプリケーション開発者または配備担当者は、配備記述子により各アプリケーション内で、ロールを 1 つまたは複数のグループに割り当てます。
セキュリティポリシードメインまたはセキュリティドメインとも呼ばれているレルムとは、共通のセキュリティポリシーが定義および適用されている範囲のことです。実際には、レルムとはサーバーがユーザーおよびグループの情報を格納するリポジトリです。
Application Server では、次の 3 つのレルムが事前に設定されています。file
(デフォルトの初期レルム)、certificate
、および admin-realm
です。さらに、ldap
、solaris
、またはカスタムレルムも設定できます。アプリケーションは、その配備記述子でレルムを指定して使用できます。レルムを指定しない場合、Application Server はデフォルトレルムを使用します。
file
レルムでは、サーバーはユーザー資格を keyfile
という名前のファイルにローカルで格納します。管理コンソールを使用して file
レルムのユーザーを管理できます。詳細については、「file レルムユーザーの管理」を参照してください。
certificate
レルムでは、サーバーはユーザー資格を証明書データベースに格納します。certificate
レルムを使用する際、サーバーは HTTP プロトコルを使う証明書を使用して Web クライアントを認証します。証明書の詳細については、「証明書および SSL の概要」を参照してください。
admin-realm
は FileRealm
でもあり、管理者ユーザーの資格を admin-keyfile
という名前のファイルにローカルで格納します。file
レルムでユーザーを管理するのと同じ方法で、管理コンソールを使用してこのレルムのユーザーを管理してください。詳細については、「file レルムユーザーの管理」を参照してください。
ldap
レルムでは、サーバーは Sun Java System Directory Server などの LDAP (Lightweight Directory Access Protocol) サーバーからユーザー資格を取得します。LDAP とは、一般のインターネットまたは会社のイントラネットのどちらであっても、ネットワークでの組織、個人、およびファイルやデバイスなどその他のリソースの検出をだれにでもできるようにするプロトコルです。ldap
レルムのユーザーおよびグループの管理については、LDAP サーバーのドキュメントを参照してください。
solaris
レルムでは、サーバーは Solaris オペレーティングシステムからユーザー資格を取得します。このレルムは Solaris 9 OS 以降でサポートされています。solaris
レルムのユーザーおよびグループの管理については、Solaris のドキュメントを参照してください。
カスタムレルムとは、リレーショナルデータベースやサードパーティー製のコンポーネントなどその他のユーザー資格のリポジトリです。詳細については、「カスタムレルムの作成」または『Developer's Guide』の「Securing Applications」の章を参照してください。