マクロ・ベースの自動化

マクロ・ベースの自動化は、その名前のとおり、ログイン・プロセスを自動化するマクロを必要とします。このマクロは、ユーザーのホスト信任状を取得し、その情報を認証のために引き渡します。ホスト信任状は、以下のユーザー ID タイプのいずれかに基づいたものになります。
  • ローカル・システム ID: ユーザーのローカル・オペレーティング・システム ID。Web Express Logon では、現在、Microsoft Active Directory (Windows ドメイン) がサポートされています。Express Logon のセッション・プロパティー・パネルで「ユーザー ID タイプ」が 「ローカル・システム ID」に設定されている場合、Z and I Emulator for Web はネイティブ・コードを使用して、ユーザーのローカル Windows ドメイン ID を取得します。このオプションを使用するためには、エンド・ユーザーが属している Windows ドメイン (1 つまたは複数) の名前を含めるように、HTML の「WindowsDomain」パラメーターを設定する必要があります。複数のドメインを指定する場合は、コンマで分離してください。
  • network ID: ユーザーのネットワーク・セキュリティー・アプリケーション ID またはクライアント証明書。Web Express Logon では、現在、IBM Tivoli Access Manager および Netegrity Siteminder がサポートされています。
  • Portal ID: ユーザーの Portal Server ID。Web Express Logon では、現在、IBM WebSphere Portal のコンポーネントである Portal Server がサポートされています。
ユーザー ID タイプは、セッション・プロパティーで構成可能なオプションです。
top グラフィック・イメージ
Z and I Emulator for Web に、Web Express Logon ではサポート対象外であるアプリケーションからユーザーの信任状を取得させることを計画している場合は、独自のプラグインを作成する必要があります。詳しくは、Web Express Logon のカスタマイズを参照してください。
マクロ・ベースの自動化は、以下の 4 つのキー・コンポーネントとそれら相互間で発生する対話から構成されます。マクロ・ベースの自動化を使用するすべての環境で、4 つのコンポーネントがすべて使用されるわけではありません。
  • ログイン・マクロ
  • Credential Mapper Servlet (CMS)
  • Network Security プラグイン
  • Host Credential Mapper (HCM) データベース

ログイン・マクロは、HTTPS 要求を CMS に送信するクライアント、必要な信任状によって応答する CMS、およびユーザーの信任状を適切なフィールドに挿入して認証済みのログオンを許可するマクロ の間で、エンドツーエンド・プロセスを自動化します。ログイン・マクロは、アクティブ・セッション内で 記録しなければなりません。これは、ユーザーがホスト・セッションにアクセスしようとするときに (構成に応じて) 自動または手動で 開始されます。

CMS は、Z and I Emulator for Web に付属して提供されるもので、J2EE 準拠の HTTP サーバーにデプロイする必要があります。CMS は、上位レベルにおいて、クライアントの ID を判別し、ホスト信任状を XML 文書としてクライアントに戻します。
top グラフィック・イメージ
HCM データベースとして Portal Credential Vault を使用する場合、 CMS は必要ありません。これは、Web Express Logon マクロが Portal Server からユーザーの信任状を直接獲得できるようにするよう、Z and I Emulator for Web ポートレットが設計されているためです。
Z and I Emulator for Web には、サポートされる 2 つのネットワーク・セキュリティー・アプリケーション (IBM Tivoli Access Manager および Netegrity Siteminder) のそれぞれに 1 つずつ、合計 2 つの Network Security プラグインが用意されています。Network Security プラグインの主な機能は、ユーザーのネットワーク ID を獲得することであり、 この ID は着信 HTTP 要求オブジェクトの HTTP ヘッダーから得ることができます。
top グラフィック・イメージ
Network Security プラグインは、Microsoft Active Directory (Windows ドメイン)、Portal Server、または証明書ベースの Web Express Logon には適用されません。Microsoft Active Directory の場合、ユーザーの識別には、Windows ログイン ID が使用されます。Portal Server の場合、ユーザーの識別には、Portal ID が使用されます。証明書ベースの Web Express Logon の場合、ユーザーの識別にはクライアント証明書が使用されます。
HCM データベースは、ユーザーのネットワーク ID を、それらのホスト信任状にマップする バックエンド・リポジトリーです。以下のいずれかのリポジトリーを使用できます。
  • JDBC データベース (IBM WebSphere DB2 で作成されたものなど)
  • Portal Server Credential Vault
Web Express Logon および Z and I Emulator for Web ポートレットに提供されている Digital Certificate Access Server (DCAS) プラグインと Vault プラグインは、このようなリポジトリーと連動するように設計されています。ほかにも、リポジトリー を LDAP ディレクトリーにすることができます。しかし、HCM データベースとして LDAP を使用するには、独自のプラグインを作成する必要があります。詳しくは、Web Express Logon のカスタマイズを参照してください。

以下の例では、ここまでで説明したキー・コンポーネントが相互作用する方法について、ユーザーが Z and I Emulator for Web セッションを開こうとして、ログイン・マクロを開始する時点から説明していきます。マクロが自動始動するように構成されていない場合、ユーザーは手動で始動することが 必要になります。