Lotus Domino Designer 7 ヘルプ - JSP タグによる Domino データへのアクセスを保護する

JSP カスタムタグのライブラリ

JSP タグによる Domino データへのアクセスを保護する
Domino データベースの特徴の 1 つに、複雑なセキュリティシステムを挙げることができます。Domino では、サーバーリストによって管理されるサーバーレベルの認証要求から、フォームの作成者および読者のフィールドによって管理される文書レベルの認証要求までを設定できます。Domino データにアクセスする JSP を作成する場合には、この強力なセキュリティモデルが役立ちます。

サーバーレベルのセキュリティ
次の認証モードを使用して Domino server にアクセスするようにアプリケーションを設計できます。

1 匿名認証。サーバーに匿名のユーザーとしてログオンします。匿名アクセスを許可するよう設定されたデータベースとマークが付けられたデータベースとサーバーにのみアクセスできます。ユーザー名とパスワードの値は必要ありません。

2 指定されるユーザー認証。ユーザー属性で指定されたユーザーとしてサーバーにログオンし、次のトップレベルのタグで指定されたパスワード属性によって認証されます。

db、document、form、ftsearch、session、view、mailto、agentrun

指定されるユーザー名は、サーバーの Domino ディレクトリに存在する必要があります、また、指定されるパスワードは、ユーザーレコードに定義されたユーザーのインターネットのパスワードと一致する必要があります。それ以外の場合は、例外がスローされます。

web アプリケーションのセッションの継続中は、ユーザー名とパスワードの属性値を、デフォルトの JSP の属性の値を設定することによってキャッシュできます。

3 コンテナ管理の認証。サーバーに「信用できる」コンテナとしてログオンします。認証セッションが確立された後は、サーバーのどのデータベースにもアクセスできます。

メモ

Advanced Edition WebSphere サーバーを使用し、コンテナによって Domino ディレクトリに対するアクセスを認証される必要があります。

コンテナ管理のアクセスは、次のいずれかの方法で実行できます。

トップレベルのタグのいずれかの user 属性値を *webuser に設定する
preset または default タグの user 属性値を *webuser に設定する
web.xml ファイルに次のコードを含めることによってアプリケーションの初期化パラメータを作成する

<context-param>
<param-name>lotus.domino.default.user</param-name>
<param-value>*webuser</param-value>
</context-param>

user 属性として *webuser を指定すると、対応するパスワード属性の値は必要なくなります。

認証セッションが作成されたサーバー以外のデータベースにアクセスするには、Domino ディレクトリの [信頼できるサーバー] フィールドにそのサーバーを追加します。

Internet Inter-ORB Protocol (IIOP) を用いて Domino Server にリモートでアクセスする場合は、次の操作が必要です。

session タグの host 属性にリモート Domino Server を指定するか、ページのデフォルトの host 属性として指定します。
security.properties という名前の標準 Java プロパティファイルを、サーブレットコンテナに作成します。このファイルには、Domino Server にコンテナの認証情報を安全に伝えるための SSO シークレットキーを含める必要があります。

メモ

Release M12 では、security.properties ファイルのサポートはまだ実装されていません。

シングルサインオン (SSO) を実行するときには、ユーザー変数を *webuser に設定し、Domino Server による認証のための SSO トークンを使用できるようにします。IIOP を使用してコンテナ認証情報を伝える場合は、security.properties ファイルは必要ありません。

メモ

SSO を使用するためには、Advanced Edition WebSphere サーバーを使用してください。

データベースレベルのセキュリティ
サーバーに対するユーザーの認証が完了した後、次に示すユーザーの条件に基づいて、データベースへの条件付きアクセスを設定できます。

データベースへのアクセス (次のタグを使用して ACL に定義されている場合)
ifauthor、ifdepositor、ifdesigner、ifeditor、ifmanager、ifreader、ifnoaccess
カスタムロール (次のタグを使用してデータベース ACL に定義されている場合)
ifdbrole

文書レベルのセキュリティ
Notes Client のデータベースフィールドを暗号化して署名することはできますが、JSP の文書アイテムを暗号化し署名することはできません。

文書を読んだり、作成できるユーザーの名前が設定された読者および作成者アイテムを作成して、文書へのアクセスを制限します。これらのアイテムの値は、次のようにして JSP に設定します。

1 次のタグのいずれかを使用して、単一または複数の値のアイテムを作成します。

2 タグの datatype 属性を「readers」か「authors」に設定します。

3 文書へのアクセスを許可するユーザーの名前を、アイテムの値として設定します。

次のタグを使用して、認証の設定に基づいて、選択的にコードを表示し、実行できます。

関連項目

用語集

用語集