Security on sMash第4回連載ではACF(Active Content Filtering)を扱います。
ACFはXSS(クロス・サイト・スクリプティング)やCSRF(クロス・サイト・リクエスト・フォージェリ)などのWebアプリケーションへの脅威に対する防護機能であり、設定やAPIにより信頼できないユーザーのリクエストなどにJavaScriptやActiveXコードなどの動的コンテンツが含まれていた場合にこれを無効化することができます。
この連載では2回にわたってsMash V1.0でのセキュリティ設定を紹介してきました。
第三回記事では12月にリリースとなったsMash V1.1での変更点を中心にご紹介します。
WebSphere sMashの主なターゲットは次世代のダイナミックWebアプリケーションであり、マッシュアップ/Wiki/Blogといった、ユーザーが提供するコンテンツを活用する対話型Webアプリケーションにフォーカスしています。
認証に際して、従来はシステムのそれぞれが、ユーザー・レジストリーの提供からユーザーID の保管までを含め、独自の認証システムを内部で維持管理していました。しかし、こういった利用方法をサポートするために、sMashはOpenIDコンシューマーライブラリを提供しており、ユーザーは外部のOpenIDプロバイダーで認証を行うことができます。
OpenIDプロバイダーは、ユーザーID の登録サービスおよび OpenID 認証サービスを提供します。一方でコンシューマーとは、ユーザーを認証する必要がある Webアプリケーションです。ユーザーは認証に際していつものようにユーザー名とパスワードを使うのではなく、任意のOpenID のID(通常はURL)を使ってサイトにアクセスします。
OpenID ではユーザーが保護したい情報 (E メール・アドレスなど) を自分が信頼するOpenIDプロバイダー以外に公開することなく、認証を行なうことができるため、ユーザー中心の認証手法として説明されます。また、OpenIDを利用することで開発者はユーザープロファイルの管理作業を信頼できるサードパーティに委託することができ、アプリケーション開発に専念することができます。
OpenID自体やOpenIDプロバイダーのリストについてはこちらやこちらのサイトなどをご参照ください。
それではWebSphere sMashでOpenIDを利用する方法を見ていきましょう。
このカテゴリではWebSphere sMashのセキュリティに関するトピックをご紹介します。
第一回はsMashアプリケーションの認証機能についてです。
sMashはWebアプリケーション開発・運用の省力化を実現してくれますが、セキュリティに関しても同様の考慮がなされています。
一般的なWebアプリケーションにおいてよく利用される基本認証やフォームベース認証、シングルサインオンをアプリケーション・コードから独立した形でzero.configに設定することができます。
認証設定に際して考えるポイントは大きく2つです。
認証条件
ユーザー・レジストリ
1.認証条件とは誰がどういった対象に対してどのような方式で認証を行なうかのルール付けを表します。
2.ユーザー・レジストリとは認証の際にユーザー情報を確認する場所になります。
それでは1,2についてそれぞれzero.configでの設定方法をみていきましょう。
