z/OS および DCAS ホスト認証
z/OS 環境および DCAS 環境では、Web Express Logon は 2 つの異なるモデルをサポートしています。1 つはユーザーがクライアント証明書によって識別されるモデル (証明書ベースの Web Express Logon と呼ばれます) であり、もう 1 つはユーザーがネットワーク・セキュリティー・アプリケーションによって識別されるモデルです。これらのモデルのいずれにも、ユーザー識別に関する独自の要件があるので、Web Express Logon の構成ステップはモデルごとに異なります。証明書ベースの環境では、各 Z and I Emulator for Web クライアント上に、ブラウザーおよび Java 2 鍵ストアだけでなく、HTTP サーバーも構成する必要があります。非証明書ベースの環境では、ネットワーク・セキュリティー・アプリケーションを構成し、HCM データベースを作成する必要があります。いずれのモデルでも、Digital Certificate Access Server (DCAS) を構成する必要があります。
図 1 および 図 2 は、それらに付随するステップとともに、証明書ベースの Web Express Logon と 非証明書ベースの Web Express Logon が、z/OS および DCAS 環境において動作する方法を図解しています。
図 1. z/OS 環境および DCAS 環境における証明書ベースの Web Express Logon
- ユーザーが、リンクをクリックして Z and I Emulator for Web デスクトップを起動する。その結果、HTTP 要求が Web サーバーに送信されます。
- サーバーが、クライアント認証を実行するため、クライアント証明書を要求する。クライアント証明書は、ブラウザーの鍵リングに保管する必要があります。
- ユーザーが、クライアント証明書をサーバーに送信する。
- Web サーバーから HTTPS 要求が戻され、Z and I Emulator for Web デスクトップが表示される。
- ユーザーが、ホスト・セッションを起動する。
- ログイン・マクロが実行される。
- マクロは、ホスト信任状を取得するため HTTPS 要求を CMS に送信する。
- CMS は、アプリケーション ID を DCASELF HCM プラグインに渡す。
- DCASELF HCM は、Web アプリケーション・サーバーからユーザーの証明書を検索する。
- ホスト (RACF) はクライアントを識別し、クライアントの許可を検査し、DCASELF HCM プラグインにパスチケットを戻す。
- DCASELF HCM プラグインは、CMS にホスト ID とパスチケットを戻す。
- CMS は、ホスト信任状を XML 文書としてクライアントに戻す。
図 2. z/OS 環境および DCAS 環境における非証明書ベースの Web Express Logon
- ユーザーが、リンクをクリックして Z and I Emulator for Web デスクトップを起動する。その結果、HTTPS 要求がネットワーク・セキュリティー・アプリケーション経由で HTTP サーバーに送信されます。
- Web サーバーから HTTPS 要求が戻され、Z and I Emulator for Web デスクトップが表示される。
- ユーザーが、ホスト・セッションを起動する。
- ログイン・マクロが実行される。
- マクロは、ホスト信任状を取得するため HTTPS 要求を CMS に送信する。
- CMS は、Network Security プラグインからユーザーのネットワーク ID を検索する。
- CMS は、ネットワーク ID とアプリケーション ID を DCAS HCM プラグインに渡す。
- DCAS HCM プラグインは、このネットワーク ID とアプリケーション ID を使用して、 IBM DB2 などのデータベースでの呼び出しを行い、ユーザーのホスト ID をマップする。
- DCAS HCM プラグインは、ユーザーのホスト ID とアプリケーション ID を Digital Certificate Access Server (DCAS) に渡し、 パスチケットを要求する。
- ホスト (RACF) は、クライアントを識別し、クライアントの許可を検査し、DCAS HCM プラグインにパスチケットを戻す。
- DCAS HCM プラグインは、CMS にホスト ID とパスチケットを戻す。
- CMS は、ホスト信任状を XML 文書としてクライアントに戻す。
ログイン・マクロは、ユーザーの介入なしに、ユーザーの信任状をログオン画面フィールドに自動的に 挿入します。ここで、ユーザーは完全に認証されて、セッションを進めることができます。
詳しくは、z/OS および DCAS 環境におけるマクロ・ベースの自動化の構成を参照してください。