「認証」とは、あるエンティティー (ユーザー、アプリケーション、またはコンポーネント) が別のエンティティーが主張している本人であることを確認する方法です。エンティティーは、「セキュリティー資格」を使用して自らを認証します。資格には、ユーザー名、パスワード、デジタル証明書などが含まれます。
通常、認証はユーザー名とパスワードでユーザーがアプリケーションにログインすることを意味していますが、アプリケーションがサーバーのリソースを要求するとき、セキュリティー資格を提供する EJB を指す場合もあります。普通、サーバーやアプリケーションはクライアントに認証を要求しますが、さらにクライアントもサーバーに自らの認証を要求できます。双方向で認証する場合、これを相互認証と呼びます。
エンティティーが保護対象リソースにアクセスを試行する場合、Enterprise Server はそのリソースに対して設定されている認証メカニズムを使用してアクセスを認可するかどうかを決定します。たとえば、ユーザーが Web ブラウザでユーザー名およびパスワードを入力でき、アプリケーションがその資格を確認する場合、そのユーザーは認証されます。それ以降のセッションで、ユーザーはこの認証済みのセキュリティー ID に関連付けられます。
Enterprise Server は、4 種類の認証をサポートします。アプリケーションは、配備記述子で使用する認証タイプを指定します。
表 9–1 Enterprise Server の認証方法
認証方法 |
通信プロトコル |
説明 |
ユーザー資格の暗号化 |
BASIC |
HTTP (オプションで SSL) |
サーバーのビルトインポップアップログインダイアログボックスを使用します。 |
SSL を使用しないかぎりありません。 |
FORM |
HTTP (オプションで SSL) |
アプリケーションが独自仕様のカスタムログインおよびエラーページを提供します。 |
SSL を使用しないかぎりありません。 |
CLIENT-CERT |
HTTPS (HTTP over SSL) |
サーバーは公開鍵証明書を使用してクライアントを認証します。 |
SSL |
DIGEST |
HTTP および SIP |
サーバーは暗号化された応答に基づいてクライアントを認証します。 |
SSL および TLS |
シングルサインオンとは、1 つの仮想サーバーインスタンスの複数のアプリケーションがユーザー認証状態を共有することを可能にするものです。シングルサインオンによって、1 つのアプリケーションにログインしたユーザーは、同じ認証情報が必要なほかのアプリケーションに暗黙的にログインするようになります。
シングルサインオンはグループに基づいています。配備記述子が同じ「グループ」を定義し、かつ同じ認証方法 (BASIC、FORM、CLIENT-CERT) を使用するすべての Web アプリケーションはシングルサインオンを共有します。
デフォルトでシングルサインオンは、Enterprise Server に定義された仮想サーバーで有効です。