ソフトウェア > Lotus > Lotus Developer Domain > 製品別技術情報 > Workplace Collaboration Services >

LDD Today

Lotus Workplace Messaging 2.0 を Tivoli Access Manager 5.1 と統合する

by Joseph Grace
Software Engineer, IBM
レベル：中級者
原文の掲載：2004年7月12日

LDD Today の原文（US）

インデックス

	TAM ジャンクションを選択する
	LDAP 統合
	TAM ジャンクションを作成する
	シームレスな認証を使用する
	まとめ
	リソース

以前の記事を更新したこの記事では、Tivoli Access Manager 5.1 を Lotus Workplace Messaging 2.0 と統合し、ユーザー・セキュリティーの実装と管理を合理化する方法について説明します。

メモ:

この記事は、developerWorks の以前の Lotus 記事『Tivoli Access Manager 4.1 と組み合わせた Lotus Workplace Messaging 1.1 の使用 (Integrating Lotus Workplace Messaging 1.1 with Tivoli Access Manager 4.1)（US）』を更新したものです。以前の記事の情報は、前バージョンの Lotus Workplace Messaging と Tivoli Access Manager を実行しているユーザーにとっては、今でも役立ちます。したがって、以前の記事はそのまま残しておき、更新した内容を新たな記事として書くことにします。

Lotus Workplace Messaging 2.0 環境をよりセキュアに、そしてより管理しやすくしたいと思いませんか。Tivoli Access Manager (TAM) 5.1 と統合すれば、セキュリティーの強化、ユーザー ID の一元的な管理、およびシームレスな認証が得られます。IBM Tivoli Access Manager 5.1（US）は、Lotus Workplace Messaging などの e-ビジネス・アプリケーションに、ポリシー・ベースのアクセス制御を提供します。Tivoli Access Manager を使用すると、Web ベースのシームレスな認証/シングル・サインオン (SSO)、Security Assurance Markup Language (SAML)、およびトークンを利用する他のプロトコルなどの機能を介して、アプリケーションのセキュリティーをより確かなものにすることができます。

この記事では、Lotus Workplace Messaging 2.0 サーバーを Tivoli Access Manager (TAM) 5.1 と統合する方法について解説します。Lotus Workplace Messaging を TAM と統合することの利点として、先進のセキュリティー製品によるセキュリティーの強化、ユーザー ID の一元管理による管理コストの削減、およびセッションごとにユーザーがログインしなければならない回数を減らすことによる生産性の向上が挙げられます。この記事では、Lotus Workplace Messaging 2.0 にシームレスな認証を与えるために TAM をどのように設定するかを見ていきます。これは、Lotus Workplace Messaging にアクセスするブラウザー・ユーザーは、ブラウザー・セッションごとに一度だけ認証用クリデンシャルを提供すればよいことを意味します。(一度のログインでアクセスできるのは TAM の背後にある Lotus Workplace コンポーネントだけなので、ここでは、シングル・サインオンの代わりに「シームレスな認証」という用語を使用します。Lotus Workplace と TAM の外部にある他のアプリケーションへの認証は、この方法では制御できません。)

Workplace Messaging と TAM 間のシームレスな認証は、次の 3 つのタスクを実行することにより、簡単に実現されます。

TAM ジャンクションとして Lightweight Third Party Authentication (LTPA) または Trust Association Interceptor (TAI) のいずれかを選択する。
Lotus Workplace Messaging で LDAP セキュリティーを有効にすることにより、LDAP を統合する。
TAM サーバーと Lotus Workplace Messaging サーバー間に TAM ジャンクションを作成する。
私たちは、Microsoft Internet Explorer 6 (Service Pack 1) を使用して環境を設定しました。しかし、ここでの説明は Lotus Workplace Messaging によってサポートされているどのブラウザーにもあてはまります。

始める前に、次の情報を確認することが必要です。

TAM サーバーの名前
LDAP サーバーの名前
LTPA 鍵 (LTPA ジャンクションを使用する場合) またはアクセス用のユーザー ID とパスワード (TAI ジャンクションを使用する場合)

この記事の目的は、Lotus Workplace Messaging と TAM (既存の TAM 実装、または最初に設定する TAM) の統合を補助するガイドラインを提供することです。ここでは、システム管理者としての経験があり、Lotus Workplace Messaging サーバーと TAM サーバーをインストールしたことがある読者を想定しています。

メモ:

この記事では、多くの箇所で、Lotus Workplace サーバー、WebSphere Application Server、WebSphere Portal に言及しています。さまざまなサーバーの種類があるため混同しがちですが、重要なのはどのサーバーで設定作業を行うのかを明確にすることです。たとえば、Lotus Workplace サーバーと共に使用する LDAP サーバーの名前を指定する作業は、WebSphere Application Server での構成項目です。この場合は、「WebSphere サーバー」というように表記しています。また、Lotus Workplace Messaging 2.0 は TAM をサポートしますが、他の Lotus Workplace 製品のリリース 2.0 バージョンは TAM をサポートしないので注意が必要です。

上に戻る

TAM ジャンクションを選択する

これまでに説明したように、最初の手順として TAM ジャンクションのタイプを選択します。TAM の用語では、フロントエンドの TAM サーバーとバックエンドの Lotus Workplace サーバー間の HTTP 接続または HTTPS 接続を「ジャンクション」と呼んでいます。ここでの目的のために使用できるジャンクションとしては、基本的に LTPA と TAI の 2 つのタイプがあります。

LTPA
WebSphere は、TAM がサポートする Cookie ベースの Lightweight Third Party Authentication (LTPA) メカニズムを提供します。WebSphere サーバーを介して作成された LTPA 鍵は TAM (または他の製品) によって使用され、セキュアな接続を生成します。
TAI
Trust Association Interceptor (TAI) は、アクセス用のユーザー ID とパスワードを使用して (これが LTPA Cookie との違い)、TAM と WebSphere サーバー間にセキュアな接続を確立するメカニズムです。TAM TAI は WebSphere と共に配布されています。

一般的に、WebSphere サーバー接続では TAI ジャンクションが使用され、WebSphere から WebSphere 以外のサーバーへの接続には LTPA ジャンクションが使用されています。これは、他の製品が Trust Association Interceptor を持たないことがあるためです。たとえば、Domino Trust Association Interceptor は存在しないため、Lotus Domino Server への接続には LTPA ジャンクションが使用されます。LTPA ジャンクションを使用する場合は、必ず LTPA 鍵を生成し、TAM サーバーに物理的にエクスポートする必要があります。TAI ジャンクションを使用する場合は、アクセス用のユーザー ID を WebSphere (Lotus Workplace) サーバーで設定し、そのパスワードを TAM サーバーの設定に追加します。

TAI ジャンクションの使用が LTPA ジャンクションを上回る点として考えられるのは、TAI ジャンクションによって TAM が WebSphere Portal の External Security Manager (ESM) として使用されることです。TAM が ESM として使用されると、ポートレットへのアクセスは WebSphere Portal の代わりに TAM によって制御されます。TAM 環境では、これは TAM を使用してセキュリティーを一元的に管理できることを意味します。残念ながら、今のところ、Lotus Workplace は TAM を ESM として使用することをサポートしていないので、LTPA ジャンクションよりも TAI ジャンクションを使用することの利点はありません。

ジャンクションのタイプの選択は、実行が必要な LDAP タスクに影響するので、LDAP 統合の前にこれを説明しました。実際には、LDAP 統合の後でジャンクションを作成します。この記事では、LDAP 統合を説明した後に、ジャンクションの作成方法を記述します。

上に戻る

LDAP 統合

前に説明した 3 つの手順のうちの 2 番目は、TAM による LDAP の使用と Lotus Workplace を統合することです。ここでは、Lotus Workplace Messaging サーバーと TAM サーバーが同じ LDAP サーバーを使用しているものとします。Lotus Workplace Messaging と TAM のどちらも LDAP をユーザー・レジストリーとして使用します。シームレスな認証を提供するために、どちらのサーバーも同じ LDAP サーバーを指している必要があります。

図 1. Lotus Workplace/TAM/LDAP サーバー構成

LDAP を統合するには、グローバル・セキュリティーを有効にし、LDAP サーバーを指定する必要があります。また、LTPA ジャンクションを使用する場合は、LTPA 鍵を生成することも必要です。これを行うための基本手順を次のセクションで説明します。

グローバル・セキュリティーを有効にする
グローバル・セキュリティーを有効にするには、WebSphere Application Server の管理コンソールを開き、[セキュリティー] - [グローバル・セキュリティー] を選択します。

図 2. [グローバル・セキュリティー] 画面

[グローバル・セキュリティー] 画面で [使用可能] オプションを選択することにより、グローバル・セキュリティーを有効にします。

LDAP サーバーを指定する
Lotus Workplace Messaging と TAM によってサポートされている任意の LDAP サーバーを使用できます。これには、IBM Directory Server、SunONE Directory、および Microsoft Active Directory も含まれます。(私たちのテスト環境では IBM Directory Server 5.1 を使用しました。)サーバーを指定するには、WebSphere Application Server の管理コンソールで [セキュリティー] - [ユーザー・レジストリー] - [LDAP] を選択します。

図 3. [LDAP ユーザー・レジストリー] 画面

[LDAP ユーザー・レジストリー] 画面で、LDAP サーバーの情報を指定します。

LTPA トークンを生成する
このセクションの先頭で説明したように、LTPA ジャンクションを使用する場合は、LTPA トークンを生成する必要があります。これを行うには、管理コンソールを開き、[セキュリティー] - [認証メカニズム] - [LTPA] を選択します。これによって、[LTPA] 画面が表示されます。

図 4. [LTPA] 画面

LTPA 鍵用に使用するファイル名を指定します。LDAP の設定の詳細については、WebSphere Portal InfoCenter（US）の「LDAP（US）」セクションを参照してください。

シームレスな認証用に Lotus Workplace Messaging サーバーをセットアップする方法の詳細については、Lotus Workplace InfoCenter の「Configuring Lotus Workplace products for seamless authentication（US）」を参照してください。

デフォルトでは、LDAP ユーザーは TAM ユーザーではありません。LDAP ディレクトリーに登録されたエントリーを使用するには、ユーザーを TAM にインポートする必要があります。これを行うには、TAM PDADMIN ユーティリティーまたは TAM の Web Portal Manager (WPM) GUI 管理ツールを使用します。PDADMIN を使用してユーザーをインポートするには、次の 3 つのコマンドを実行します。

user import <username> <LDAP-DN>
このコマンドは、ユーザーを LDAP ユーザー・エントリーとリンクすることにより、TAM ユーザー・エントリーを作成します。<username> は、インポートする TAM ユーザーの名前で置き換えます。<LDAP-DN> は、LDAP のユーザー・エントリーの識別名で置き換えます。これによって、TAM ユーザー名 (<username>) と LDAP ユーザー名 (<LDAP-DN>) の間にリンクが作成されます。
user modify <username> account-valid yes
このコマンドは、新規の TAM ユーザーをアクティベートします。<username> は、インポートするユーザーの名前で置き換えます。
user modify <username> password-valid yes
このコマンドは、LDAP 内のユーザーのパスワードが有効であることを TAM に通知します。<username> は、インポートするユーザーの名前で置き換えます。

LDAP ユーザーは TAM にインポートする必要があるため、Lotus Workplace の自己登録機能が問題となることがあります。自己登録ページでは、ユーザーを LDAP に登録しますが、TAM には登録しません。Lotus Workplace で自己登録が許可されている場合は、新たに自己登録されたユーザーを TAM にインポートするために、新規の LDAP エントリーについて TAM 管理者に通知しなければなりません。Lotus Workplace の自分のプロフィールの編集を許可するオプションについても、同様の問題が発生します。この機能を使用すると、ユーザーはパスワードを変更したり、姓を変更するなどのことが可能です。ユーザーをインポートするコマンドの説明でも述べたように、TAM ユーザー ID は LDAP DN にリンクされているため、LDAP 識別名を変更するような編集は問題となります。DN に影響しない他のオプション (メール・アドレスの変更など) は、問題の原因とはなりません。

上に戻る

TAM ジャンクションを作成する

最後に、3 番目の手順としてジャンクションを作成します。以下のセクションでは、LTPA ジャンクションと TAI ジャンクションの作成方法を説明します。選択したジャンクションについての説明に従ってください。

LTPA ジャンクションを作成する
TAM TAI ジャンクションを選択した場合は、この手順を省略し、次の「TAI ジャンクションを作成する」というセクションに進んでください。それ以外の場合は、これまでに生成した LTPA トークンを使用して、TAM サーバーから Lotus Workplace Messaging サーバーへの接続を作成します。ジャンクションには、バックエンド・サーバーの名前、そのサーバーへの接続方法、および接続に適用するパラメータを TAM に通知する設定が含まれています。

TAM サーバーで、PDADMIN TAM ユーティリティーを実行し、次のコマンドを入力して TAM LTPA ジャンクションを作成します。

server task webseald-<tamserv> create -t tcp -h
<workplace.yourco.com> -p <port> -j -w -i
/<lwpmsg> -A -F c:\<keyfilename> -Z <pw>

上記のコマンドの説明

<tamserv> は WebSEAL TAM インスタンスの名前です (WebSEAL はリバース・プロキシーを提供する TAM コンポーネント)。
<workplace.yourco.com> は Lotus Workplace Messaging サーバーの名前です。
<port> は Lotus Workplace サーバーの HTTP ポートです。
</lwpmsg> は TAM ジャンクションの名前です。
<keyfilename> は、TAM サーバー上で LTPA 鍵ファイルがコピーされた場所です。LTPA 鍵は、WebSphere Application Server の管理コンソールからエクスポートされた後、この場所にコピーされます。
<pw> は LTPA トークンの生成に使用されたパスワードです。

次のセクション (TAM TAI ジャンクションの作成方法) を省略し、「WebSphere Portal TAM Configuration Wizard」というセクションに進んでください。

TAI ジャンクションを作成する
TAI ジャンクションの作成には、4 つの手順が必要です。最初の 2 つは WebSphere サーバーで実行し、後の 2 つは TAM サーバーで実行します。

1. WebSphere によって提供されたTAM Trust Association Interceptor を有効にする
TAI を有効にするには、まず、WebSphere Application Server の管理コンソールを開き、[セキュリティー] - [認証メカニズム] - [LTPA] を選択します。次に、[LTPA] 画面の下の方にある [トラスト・アソシエーション] をクリックします。これによって、[LTPA トラスト・アソシエーション] 画面が表示されます。

図 5. [LTPA トラスト・アソシエーション] 画面

TAI を有効にするために、必要な情報を入力します。

2. TAI パラメータを構成する
[トラスト・アソシエーション] 画面で、[インターセプター] をクリックします。これによって、利用可能なインターセプターがリストされた [カスタム・プロパティー] が表示されます。

図 6. [カスタム・プロパティー] 画面

[カスタム・プロパティー] 画面を使用して、TAI を構成します。プロパティー名は正確に入力するよう注意してください。プロパティーを正しく機能させるには、WebSphere によって提供された TAM TAI と正確に一致するように入力しなければなりません。たとえば、4 番目のパラメータ名は loginId です。フォントによっては、先頭の小文字の「L」が、右から 2 番目の大文字の「I」のように見えることがあります。

私たちは、この loginId パラメータに「mistered」というユーザーを指定しました。対応するパスワードを次の手順で指定する限り、この目的のために指定したどのユーザーを使用してもかまいません。他の値は、図に示したように入力する必要があります。

TAM TAI ジャンクション用に Lotus Workplace Messaging サーバーをセットアップする方法は、TAM TAI ジャンクションを使用するために WebSphere Portal サーバーをセットアップする方法と同じです。WebSphere Portal InfoCenter の「WebSphere Portal の認証を実行する TAM の構成（US）」というページを参照してください。この文書の手順 12 に、前の画面で参照した [カスタム・プロパティー] の作成方法が記載されています。

3. TAI で使用されるパスワードを構成する
次の手順として、前の手順で入力した loginId へのパスワードを指定します。このパスワードは、TAM サーバーにある WebSEAL の webseald.conf ファイルで構成されます。[junction] スタンザで、「basicauth-dummy-passwd = <your password>」パラメータを使用してパスワードを指定します。<your password> は、前の手順で入力した loginId の実際のパスワードで置き換えます。TAI と WebSEAL は、loginId とパスワードを使用して、TAM サーバーとバックエンドの Lotus Workplace サーバー間にセキュアな接続を作成します。

4. TAI ジャンクションを作成する
最後の手順は、TAI ジャンクションの作成です。これを行うには、PDADMIN TAM ユーティリティーを使用し、次のような作成コマンドを渡します。

server task default-webseald-<tamserv>
create -t tcp -h <workplace.yourco.com> -p
<port> -j -w -i -b supply -c all /<lwptai>

上記のコマンドの説明

<tamserv> は WebSEAL TAM インスタンスの名前です (WebSEAL はリバース・プロキシーを提供する TAM コンポーネント)。
<workplace.yourco.com> は Lotus Workplace Messaging サーバーの名前です。
<port> は Lotus Workplace サーバーの HTTP ポートです。
</lwptai> は TAM ジャンクションの名前です。

上記のジャンクション作成コマンドの他のパラメータの説明については、『IBM Tivoli Access Manager WebSEAL Administration Guide SC32-1359（US）』を参照してください。

WebSphere Portal TAM 構成ウィザード
WebSphere Portal と Tivoli Access Manager の統合を自動化する WebSphere Portal TAM 構成ウィザードという優れたツールがあります。このウィザードは、この記事で解説した手作業を自動的に実行します。Lotus Workplace は WebSphere Portal 上で構築されているので、この構成ウィザードを使用すれば、Lotus Workplace と TAM の統合をある程度自動化できるのでは、と思われるかもしれません。しかし、残念なことに、Lotus Workplace では、いくつかの WebSphere Portal 項目が、プログラムでの項目の検索方法と異なる方法で構成されています。このため、今のところ、Lotus Workplace ではこのウィザードは機能しません。

上に戻る

シームレスな認証を使用する

シームレスな認証は、たいへん簡単に使用できます。これまでの作業により、ユーザーは TAM サーバー経由で Lotus Workplace Messaging サーバーにアクセスし、シームレスな認証を利用できます。つまり、ユーザーは同じブラウザー・セッション内では一度だけサイン・インすればよいのです。

サイン・インするには、TAM ジャンクションの名前を知っておく必要があります。ユーザーは、TAM サーバー名の後に TAM ジャンクション名を追加し、さらにその後に Lotus Workplace Messaging サーバーの URL を入力しなければなりません (なお、この URL ではサーバー名を削除しておきます。サーバー名は、TAM のリバース・プロキシーによって隠されます。リバース・プロキシーはユーザーからコンテンツ・サーバーを隠し、これに応じて URL を調整します)。たとえば、TAM サーバー名が「tam.com」、ジャンクション名が「/lwpmsg」、Lotus Workplace Messaging サーバーが「acme.com/lwp/myworkplace」の場合は、TAM サーバー経由で Lotus Workplace Messaging サーバーにアクセスする URL は、「http://tam.com/lwpmsg/lwp/myworkplace」になります。ユーザーがこの URL を開くと、TAM によってユーザー名とパスワードの入力が求められます。

図 7. [Access Manager] 画面

URL には、/lwp/workplace の代わりに /lwp/myworkplace が含まれています。もし、/lwp/workplace が使用された場合は、Lotus Workplace の標準のログイン・ページが表示されることになります。このページが表示されているとき、名前とパスワードを入力して [ログイン] をクリックすると、Lotus Workplace Messaging にアクセスできます。TAM サーバー上の webseald.conf ファイルを更新し、次の行を含めることで、/lwp/myworkplace URL へのリダイレクトを強制できます。

これによって、誤って /lwp/workplace ページにアクセスしたユーザーに、ユーザー名やパスワードの入力を求めることがなくなります。

同様に、WebSphere Portal のログアウトも TAM のログアウトと異なります。TAM がユーザーのクリデンシャルを維持しているときは、TAM のログアウトが必須です。WebSphere Portal InfoCenter の「ログイン・ページおよびログアウト・ページの変更（US）」セクションには、ログイン・ページ (この記事で解説した TAM のログイン・リダイレクト・ページを使用する別の方法を採用) とログアウト・ページの情報が記載されています。

メモ:

Lotus Workplace Messaging は、リバース・プロキシー (したがって、TAM) をサポートする唯一のリリース 2.0 Lotus Workplace 製品です。

ログインに成功すると、TAM はユーザーを Lotus Workplace Messaging にリダイレクトします。

図 8. Lotus Workplace Messaging へのログイン

上に戻る

まとめ

Lotus Workplace Messaging 2.0 と Tivoli Access Manager 5.1 との統合によって得られるシームレスな認証は、シングル・ログイン・ポイントという利便性をユーザーにもたらします。また、システム管理の観点からは、この機能はシステム・セキュリティーを強化し、制御性を高めるために役立ちます。つまり、セキュリティーに関する作業が簡素化され、管理者は余った時間をより生産的な作業に向けることが可能です。Lotus Workplace Messaging 2.0 と Tivoli Access Manager 5.1 との統合により、制御性の改善、セキュリティーの強化、管理オーバーヘッドの削減、よりシンプルなユーザー・エクスペリエンスなど、優れた環境が得られます。

上に戻る

リソース

developerWorks の Lotus 記事『Tivoli Access Manager 4.1 と組み合わせた Lotus Workplace Messaging 1.1 の使用 (Integrating Lotus Workplace Messaging 1.1 with Tivoli Access Manager 4.1)（US）』には、Lotus Workplace Messaging 1.1 と Tivoli Access Manager 4.1 との統合について記載されています。
シームレスな認証用に Lotus Workplace Messaging サーバーをセットアップする方法の詳細については、Lotus Workplace InfoCenter（US）の「Configuring Lotus Workplace products for seamless authentication」セクションを参照してください。
WebSphere Portal InfoCenter（US）と WebSphere InfoCenter（US）は、この記事で触れた WebSphere の管理タスクの詳細に関する貴重な情報源です。

筆者について
Joseph Grace : メインフレームからパーソナル・コンピュータに至るまで、長期にわたり、さまざまな業務に携わる。1990 年代後半から IBM の Lotus 部門に勤務し、パフォーマンスと相互運用性のテストを担当。現在は、主にLotus 製品とセキュリティー・ソフトウェアの相互運用性に取り組んでいる。

上に戻る