ソフトウェア > Lotus > Lotus Developer Domain > 製品別技術情報 > Workplace Collaboration Services >

LDD Today

Tivoli Access Manager 4.1と組み合わせたLotus Workplace Messaging 1.1の使用

Joseph Grace Software engineer, IBM Corp.
レベル：中級者
原文の掲載：2004年3月22日

LDD Todayの原文（US）

インデックス

	LDAP統合
	TAMラインタイムをLotusWorkplaceMessagingサーバーにインストールする
	LTPAトークンを使ってTAMジャンクションを作成する
	シームレスな認証の使用
	まとめ
	リソース

Lotus Workplace Messaging 1.1の環境を、よりセキュアーに、またより管理を簡単にしたいと思いませんか。Tivoli Access Manager (TAM) 4.1を使えば、セキュリティーは向上し、ユーザーIDの集中管理が可能になり、さらにシングル・サインオンも実現可能です。

IBM Tivoli Access Manager 4.1はポリシー・ベースでのビジネス・アプリケーションに対するアクセス・コントロール機能を提供しており、その対応製品にはLotus Workplace Messagingも含まれています。Tivoli Access Managerを使うと、そのWebベースのシングル・サインオンやSecurity Assurance Markup Language (SAML)やトークンの引き渡しに関するプロトコルといった機能を使って、アプリケーションのセキュリティーをより確かなものにしてくれます。

この記事ではTivoli Access Manager (TAM) 4.1とLotus Workplace Messaging 1.1を組み合わせる方法について解説します。組み合わせることのメリットですが、最高度のセキュリティー製品を使うことによるセキュリティー向上や、ユーザーIDの集中管理による管理コストの削減や、シングル・サインオンによる生産性の向上があげられます。これは何を意味しているかと言えば、ブラウザー・ユーザーがLotus Workplace Messagingにアクセスする際には、一度だけ認証用クレデンシャルを渡すだけで済むようになり、シームレスな認証が可能になるということです。この記事では、シングル・サインオンではなく、シームレスな認証という表現を用いますが、これはTAMの裏にあるLotus Workplaceコンポーネントに、一回のログインでアクセスできますが、Lotus WorkplaceやTAM以外のアプリケーションに関する認証はこの制御の範囲外となるからです。

Lotus Workplace MessagingとTAMとの間でシームレスな認証をセットアップするためのタスクは大きく3つあります。

Lotus Workplace MessagingでLDAPセキュリティーを有効にして、LDAPとの統合を行う。
TAMランタイムをLotus Workplace Messagingサーバーにインストールする。
TAMサーバーとLotus Workplace Messagingサーバー間のTAM LTPAジャンクションを作成する。

これを行う方法はほかにもありますが、この記事では対象外としています。この記事では、Windows IE 6 SP1を使って環境をセットアップしていることに注意してください。ですが、ここに記載した作業指示は、Lotus Workplace Messagingでサポートされている他のブラウザーにも適用可能です。
始める前に、以下の情報が必要です。

TAMサーバーの名称
LDAPサーバーの名称
LDAPディレクトリーでのTAMのルート・サフィックス(通常は、secAuthority=Default)

個々での目標は、TAMとLotus Workplace Messagingを統合するうえでのガイドラインを提供することにあります。(TAMについては既存のものを利用するか、あるいは新規に立ち上げることのいずれかを想定しています。) この記事では、読者は経験を積んだシステム・アドミニストレーターで、Lotus Workplace MessagingとTAMサーバーをインストールしたことのある方を前提としています。

LDAP統合

最初に、Lotus Workplace MessagingとTAMサーバーが同じLDAPサーバーを使っていることを確認しなければなりません。Lotus Workplace MessagingとTAMはLDAPをユーザー・レジストリーとして使用することになりますが、シームレスな認証を提供するには、同一のLDAPサーバーをポイントしておく必要があります。

図1. LDAPのセットアップ

基本的な手順は以下の通りです。

Global Securityを有効にします。
LDAPサーバーを指定します。Workplace MessagingとTAMの双方でサポートされているLDAPサーバーならどれでも構いません。例えば、IBM Directory Server、SunONE Directory、Microsoft Active Directoryなどがあります。このテスト環境では、SunONEを使用しています。
Lightweight Third Party Authentication (LTPA)トークンをエキスポートします。

Lotus Workplace Messagingサーバーでシームレスな認証を行えるようにセットアップする方法の手順についての詳細は、Configuring Lotus Workplace products for seamless authenticationの記事中にあるLotus Workplace InfoCenterを参照してください。

注意:

LDAPユーザーはデフォルトではTAMユーザーではありません。LDAPディレクトリーに登録されたエントリーを使用するには、ユーザーをTAMへインポートする必要があります。これを行うには、TAM PDADMINユーティリティーで以下の3つのコマンドを実行する必要があります。

user import <username> <LDAP-DN>
TAMユーザーのエントリーの作成を、LDAPディレクトリーのユーザー・エントリーとリンクさせながら行います。<username>をインポートされるユーザー名に置き換えてください。<LDAP-DN>は、LDAPディレクトリーでのユーザーの識別名(DN: Distinguished Name)で置き換えてください。
user modify <username> account-valid yes
新規のTAMユーザーをアクティベートします。<username>にはインポートされたユーザー名を入れてください。
user modify <username> password-valid yes
LDAPディレクトリーにあるユーザーのパスワードが有効なものであることをTAMに知らせるものです。

LDAPディレクトリーのユーザーは必ずTAMへインポートする必要がありますので、Lotus Workplaceが持っているユーザーの自動登録機能は問題となってきます。Lotus Workplaceのユーザー自動登録機能では、ユーザーをLDAPディレクトリーに登録しますが、TAMに登録するわけではありません。Lotus Workplaceでこの機能を使えるようにしておくと、TAMの管理者にいちいちLDAPディレクトリーの新規登録エントリーを知らせてTAMにインポートしてもらう必要があります。

上に戻る

TAMラインタイムをLotus Workplace Messagingサーバーにインストールする

TAMのランタイムには、アプリケーションがTAMサーバーにアクセスするのに必要なライブラリーやサポート・ファイルが入っています。TAMでは、TAMランタイムか、TAM Javaランタイムのいずれかがドメインの各システムにインストールされている必要があります。いずれをインストールするかは、JavaによりTAMのAPIをコールするかによります。この例では、TAMランタイムを使用しています。

TAM Runtimeは、少なくとも1.3.1の適切なJava Virtual Machine (JVM)が必要になり、System JVMとなるように設定されている必要があります。windows\JRE\install.exe(Windowsを想定)を実行して、JVMをインストールします。

TAMのインストール・プログラムはinstall_pdrte.exe(TAMラインタイム用)で使いやすく作られており、自動的に必要な前提条件となるソフトウェアのインストールと設定がされます。インストール中にいくつか質問画面が表示されます。例えば、TAMやLDAPディレクトリー・サーバーの名称や、LDAPディレクトリー・サーバーでのTAMデータで使われるルート・サフィックスの名称です(通常は、secAuthority=Default)。インストールが終了するとリブートします。

TAMおよびそのコンポーネンツはマニュアルでもインストール可能です。詳細については、TAM 4.1 Base Installation Guide (SC32-1131-01)をご覧ください。

上に戻る

LTPAトークンを使ってTAMジャンクションを作成する

ここで、TAMサーバーからLotus Workplace Messagingサーバーへの接続を作成する必要があります。TAMの用語ではこの接続のことをジャンクションと呼んでいます。ジャンクションにはTAMに伝えるターゲット・サーバーの名称やどのように接続するかと言った情報が含まれています。また、どのパラメーターをその接続に適用するかについての設定も入っています。

LTPAトークンの作成
今回の目的を実現するジャンクションで最もシンプルな形態は、Lightweight Third Party Authentication (LTPA)ジャンクションです。LTPAジャンクションを作成するには、最初にLotus Workplace MessagingのWebSphere Administrative ConsoleでLTPAトークンを作成する必要があります。以下の図はWebSphere Administrative ConsoleのLTPA設定セクションを示しています。

図2. WebSphere管理コンソール

サーバーがインストールされる際に、LTPAトークンは作成されます。LTPAキーをエキスポートするには、Key File Nameフィールドにそれを入れ、Export Keysボタンを押します。これで、エキスポートされたキー・ファイルがTAMにコピーされます。

TAM LTPAジャンクションの作成
次に、PDADMIN TAMユーティリティーを起動して、以下のコマンドを実行します。これでTAM LTPAジャンクションが作成されます。

\server task webseald-<tamserv> create -t tcp -h <workplace.yourco.com> -p
80 -j -w -i -c iv_user -b supply /<lwpmsg> -A -F c:\<keyfilename> -Z <pw>

このコマンドの内容は以下の通りです。

<tamserv>はWebSEAL TAMインスタンスの名称です。(WebSEALはTAMコンポーネントで、リバース・プロキシー機能を提供します。)
<workplace.yourco.com>は、Lotus Workplace Messagingサーバーの名称です。
</lwpmsg>はTAMジャンクションの名称です。
<keyfilename>は、WebSphere Administrative Consoleからエキスポートし、TAMサーバーへコピーされたキー・ファイルの名称です。
<pw>はLTPAトークンを作成する際に使われるパスワードです。

これ以外のパラメーターの解説については、IBM Tivoli Access Manager Command Reference GC32-1107-01を参考にしてください。

IBM Tivoli Access Manager Command Reference GC32-1107-01 (599KB)

PDFファイルを見るにはAdobe® Reader®が必要です

Adobe Reader

上に戻る

シームレスな認証の使用

これを行えば、ユーザーはTAMサーバーを介してLotus Workplace Messagingサーバーへアクセスでき、シームレスな認証を利用することができます。つまり同一のブラウザー・セッションでは一度だけログインすれば済むようになります。

これを行うには、ユーザーはTAMジャンクションの名称を知っている必要があります。そして、TAMジャンクションの名称をTAMサーバー名に追加して、それに続いてLotus Workplace MessagingサーバーのURLを加えます(サーバー名にマイナスが着いているのは、TAMのリバース・プロキシーにより隠されていることを示しています。リバース・プロキシーはコンテンツが入ったサーバーをユーザーから見えなくし、それにあわせてURLも調整する機能を持っています。) 例えば、TAMサーバー名がtam.comで、ジャンクション名が/lwpmsg、そしてLotus Workplace Messagingサーバーがacme.com/lwp/myworkplaceの場合、Lotus Workplace MessagingサーバーへTAMサーバーを経由してアクセスする場合のURLはhttp://tam.com/lwpmsg/lwp/myworkplaceとなります。このURLをユーザーが開くと、TAMによりユーザー名とパスワードが尋ねられます。

図3. TAMのユーザー名とパスワードの入力要求

注意:

Lotus Workplace 1.1製品群のなかで、Lotus Workplace Messagingだけがリバース・プロキシーをサポートしています。
ログインに成功すると、TAMサーバーはユーザーをLotus Workplace Messagingへリダイレクトします。

図4. Lotus Workplace Messagingへのログオン

このURLには、lwp/workplaceではなく、lwp/myworkplaceが入っています。
もし、/lwp/workplaceが使うと、Lotus Workplaceがもともと持っているログイン・ページが表示され、そこでログインする必要があります。TAMサーバーのwebseald.confファイルを更新して、強制的に/lwp/myworkplace へリダイレクトするようにすることもできます(以下の行を参照)。

これにより、/lwp/workplace へ間違ってアクセスして、不必要にログインすることがなくなります。

同様に、WebSphere PortalのログアウトはTAMのログアウトとは別の者であることに注意してください。TAMがユーザーのクレデンシャルを管理している場合には、TAMでのログアウトが必要です。WebSphere Portal InfoCenterには、ログイン(今回紹介したTAMのログイン・リダイレクト・ページを使う別の方法を利用)とログアウトのページを変更する方法が記載されています。Changing the login and logout pagesを参照してください。

上に戻る

まとめ

両製品でのシームレスな認証は、シングル・ログインの利便性をユーザーに提供します。また、管理者にとっては、より管理性とセキュリティーを高めてくれます。セキュリティーを高める上での労力を軽減化、単純化し、より生産性の高い作業に時間を割けるようになります。よりよい管理性とセキュリティー、オーバーヘッドの削減、ユーザー操作の単純化、これらすべてを実現することができます。

上に戻る

リソース

Lotus Workplace Messagingサーバーでシームレスな認証を行えるようにセットアップする方法の手順についての詳細は、Configuring Lotus Workplace products for seamless authenticationの記事中にあるLotus Workplace InfoCenterを参照してください。
ログインとログアウトのページの変更方法を学ぶには、WebSphere Portal InfoCenterのChanging the login and logout pagesをご覧ください。

著者について（原文のまま）
Joseph Grace has had a long and varied career involving everything from mainframes to personal computers. Since the late 1990's he has worked for IBM's Lotus division involved in performance and interoperability testing. His current focus involves interoperability of Lotus products with security software.

上に戻る