z/OS および DCAS ホスト認証

z/OS 環境および DCAS 環境では、Web Express Logon は 2 つの異なるモデルをサポートしています。1 つはユーザーがクライアント証明書によって識別されるモデル (証明書ベースの Web Express Logon と呼ばれます) であり、もう 1 つはユーザーがネットワーク・セキュリティー・アプリケーションによって識別されるモデルです。これらのモデルのいずれにも、ユーザー識別に関する独自の要件があるので、Web Express Logon の構成ステップはモデルごとに異なります。証明書ベースの環境では、各 Z and I Emulator for Web クライアント上に、ブラウザーおよび Java 2 鍵ストアだけでなく、HTTP サーバーも構成する必要があります。非証明書ベースの環境では、ネットワーク・セキュリティー・アプリケーションを構成し、HCM データベースを作成する必要があります。いずれのモデルでも、Digital Certificate Access Server (DCAS) を構成する必要があります。

図 1 および 図 2 は、それらに付随するステップとともに、証明書ベースの Web Express Logon と 非証明書ベースの Web Express Logon が、z/OS および DCAS 環境において動作する方法を図解しています。
図 1. z/OS 環境および DCAS 環境における証明書ベースの Web Express Logon
 z/OS 環境および DCAS 環境における証明書ベースの Web Express Logon
  1. ユーザーが、リンクをクリックして Z and I Emulator for Web デスクトップを起動する。その結果、HTTP 要求が Web サーバーに送信されます。
  2. サーバーが、クライアント認証を実行するため、クライアント証明書を要求する。クライアント証明書は、ブラウザーの鍵リングに保管する必要があります。
  3. ユーザーが、クライアント証明書をサーバーに送信する。
  4. Web サーバーから HTTPS 要求が戻され、Z and I Emulator for Web デスクトップが表示される。
  5. ユーザーが、ホスト・セッションを起動する。
  6. ログイン・マクロが実行される。
  7. マクロは、ホスト信任状を取得するため HTTPS 要求を CMS に送信する。
  8. CMS は、アプリケーション ID を DCASELF HCM プラグインに渡す。
  9. DCASELF HCM は、Web アプリケーション・サーバーからユーザーの証明書を検索する。
  10. ホスト (RACF) はクライアントを識別し、クライアントの許可を検査し、DCASELF HCM プラグインにパスチケットを戻す。
  11. DCASELF HCM プラグインは、CMS にホスト ID とパスチケットを戻す。
  12. CMS は、ホスト信任状を XML 文書としてクライアントに戻す。
図 2. z/OS 環境および DCAS 環境における非証明書ベースの Web Express Logon
 z/OS 環境および DCAS 環境における非証明書ベースの Web Express Logon
  1. ユーザーが、リンクをクリックして Z and I Emulator for Web デスクトップを起動する。その結果、HTTPS 要求がネットワーク・セキュリティー・アプリケーション経由で HTTP サーバーに送信されます。
  2. Web サーバーから HTTPS 要求が戻され、Z and I Emulator for Web デスクトップが表示される。
  3. ユーザーが、ホスト・セッションを起動する。
  4. ログイン・マクロが実行される。
  5. マクロは、ホスト信任状を取得するため HTTPS 要求を CMS に送信する。
  6. CMS は、Network Security プラグインからユーザーのネットワーク ID を検索する。
  7. CMS は、ネットワーク ID とアプリケーション ID を DCAS HCM プラグインに渡す。
  8. DCAS HCM プラグインは、このネットワーク ID とアプリケーション ID を使用して、 IBM DB2 などのデータベースでの呼び出しを行い、ユーザーのホスト ID をマップする。
  9. DCAS HCM プラグインは、ユーザーのホスト ID とアプリケーション ID を Digital Certificate Access Server (DCAS) に渡し、 パスチケットを要求する。
  10. ホスト (RACF) は、クライアントを識別し、クライアントの許可を検査し、DCAS HCM プラグインにパスチケットを戻す。
  11. DCAS HCM プラグインは、CMS にホスト ID とパスチケットを戻す。
  12. CMS は、ホスト信任状を XML 文書としてクライアントに戻す。

ログイン・マクロは、ユーザーの介入なしに、ユーザーの信任状をログオン画面フィールドに自動的に 挿入します。ここで、ユーザーは完全に認証されて、セッションを進めることができます。

詳しくは、z/OS および DCAS 環境におけるマクロ・ベースの自動化の構成を参照してください。