一般的なパストークン構成

適切なパストークン構成は、インストール済み環境での必要性、そのセキュリティ要件、および管理者の便宜によって異なります。ここでは、一般的なインストール済み環境のためのパストークン構成の例をいくつか示します。

パストークンなし

最も安全性の高いオプションは、パストークン全体の無効化です。これは、ユーザーはセキュリティ ドメインに入るときに必ず明示的にサインオンする必要があることを意味します。管理者は MFDS と ESMAC に別々にログオンする必要があり、CICS トランザクション ルーティングなどの目的のために、ユーザー ID がエンタープライズ サーバー リージョン間のシステム間通信 (ISC) リンクを超えて自動的に転送されることはありません。

この構成では、パストークンが誤用される危険性はありません。

MFDS 管理 Web インターフェイスを使用して、MFDS リポジトリ内の各 Security Manager オブジェクトの ESF Manager 構成においてパストークンを無効にします。詳細については、「Passtoken Options for ESF Manager」を参照してください。

MFDS および ESMAC のためのパストークン

MFDS および ESMAC の管理インターフェイスのためにパストークンを有効にすると、特に、それら 2 つの機能に互いへのリンクが用意されて相互間の切り替えが容易になることから、管理者にとっては便利になることがあります。ESMAC はエンタープライズ サーバー リージョン内の CAS の一部として実行されますが、MFDS はどのエンタープライズ サーバー リージョンからも分離されているため、それらはそのようなリンクにかかわらず異なるセキュリティ ドメイン内にあります。そのため、パストークンがないと、管理者はそれぞれに別々にログインする必要があります。パストークンがあると、管理者は MFDS または ESMAC に接続してログインした後、アクセスできなくなることや再度ログインする必要なくそれら 2 つの間を移動できます。

MFDS および ESMAC では、必ず正常なパストークンが使用されるため、この機能は、より強力でより危険性の高い代理トークンを有効にすることなく有効にできます。詳細については、「パストークンへのアクセス」を参照してください。
注: Micro Focus では、代理パストークンは使用しないように推奨しています。代理パストークンには、代理パストークンを作成する権限があれば、誰でも代理パストークンによるサインオンを許可された他のユーザーを偽装できてしまうというセキュリティ上のリスクがあります。
MFDS および ESMAC のためのパストークンを有効にするには、パストークン サポートを使用するエンタープライズ サーバー リージョンの ESF Manager 構成においてパストークン サポートを無効にしないでください。これは、リージョンの [Security] タブの [Configuration Information] フィールドで設定します。
注: パストークン サポートは、ESF Manager ではデフォルトで有効になっています。

MFDS および ESMAC でパストークンを使用するためには、MFDS および管理している ES リージョンで同じセキュリティ構成を使用する必要があります。例えば、それら両方を、Default ES Security 構成を使用するように設定できます。

ESM 固有のアクションを実行して、管理ユーザーに正常なパストークンの生成およびサインオンを可能にする必要がある場合があります。MLDAP ESM モジュール で、ESMAC と MFDS とを簡単に切り替えられるようにする各管理ユーザーのために、LDAP リポジトリ内の次の属性を設定します。

  • microfocus-MFDS-User-CreateToken"self"
  • microfocus-MFDS-User-UseToken"self"
注: システム ユーザー (SYSAD など) については、それらのユーザーを管理者 ID として使用する場合を除き、これを実行する必要はありません。管理者が実際に MFDS または ESMAC にサインインする際のユーザー アカウントについてのみ、それを実行する必要があります。

そのデフォルト構成では、MFDS でサインインは求められません。サインインしなかった場合は、ESMAC に切り替えたときにパストークンは生成されません。MFDS と ESMAC の間でパストークンを使用するには、MFDS を、管理サインオンが必要となるように構成してあることを確認してください。

ISC のためのパストークン

2 つのエンタープライズ サーバー リージョン間でのトランザクション ルーティングや関数シッピングなど、CICS 機能のために MTO システム間通信 (ISC) 機能を使用する顧客は、その目的のためにパストークンを有効にする必要がある場合があります。その場合、その 2 つの CICS リージョンでは、複数のセキュリティ ドメインにまたがる場合であっても、アプリケーションによって実行されるすべての操作に同じセキュリティ コンテキストが適用されます。

パストークンは、MFE またはメインフレーム CICS など、エンタープライズ サーバー リージョン以外のリージョンとの ISC 対話のためにはサポートされていないことに注意してください。

ISC パストークンは、必要に応じてシステムによって自動的に生成される代理パストークンです。それらは、必ずリージョンのシステム ユーザー (そのリージョンの起動に使用されるユーザー アカウント) によって生成されます。

ISC パストークンを有効にするには、ISC パストークン サポートを使用する MFDS またはエンタープライズ サーバー リージョンの ESF Manager 構成においてパストークン サポートを無効にしないでください。これは、リージョンの [Security] タブの [Configuration Information] フィールドで設定します。
注: パストークン サポートは、ESF Manager ではデフォルトで有効になっています。

また、次のことを可能にするために ESM 固有のアクションを実行する必要がある場合があります。

  • 別のエンタープライズ サーバー リージョンへの ISC 要求を行うリージョンの起動に使用されたユーザー アカウントによる、代理パストークンの生成。
  • 別のリージョンでトランザクションを開始するなど、ISC 要求を引き起こすトランザクションを実行するユーザー アカウントの代理パストークンによるサインオン。

MLDAP ESM モジュール の場合は、次のことが必要となります。

  • リージョンの起動に使用されるすべてのユーザー アカウントについて、LDAP ユーザー属性 microfocus-MFDS-User-CreateTokenany に設定します。
  • ISC 要求を引き起こす可能性がある CICS トランザクションを実行するすべてのユーザー アカウントについて、LDAP ユーザー属性 microfocus-MFDS-User-UseTokenany に設定します。

複数のリージョンで異なる LDAP リポジトリが使用される場合、システム ユーザー アカウント (トークンを生成するユーザー アカウント) は要求を開始するリージョンに属し、通常のユーザー アカウント (トークンを使用してサインオンされるユーザー アカウント) は要求を処理するリージョンに属すということに注意してください。

多要素認証のためのパストークン

多要素認証を利用してユーザー名とパスワードを入力せずにメインフレームにログオンする場合は、パストークンを有効にする必要があります。

多要素認証では、ログインに RACF 形式のパストークン (短いパストークン) を使用します。この短いパストークンはデジタル証明書アクセス サーバー (DCAS) で生成されます。このパストークンを使用することで、そのパストークンが生成されたエンタープライズ サーバー リージョンで CICS にログオンできます。

パストークンを有効にするには、パストークン サポートを使用するエンタープライズ サーバー リージョンの ESF Manager 構成においてパストークン サポートを無効にしないでください。これは、リージョンの [Security] タブの [Configuration Information] フィールドで設定します。
注: パストークン サポートは、ESF Manager ではデフォルトで有効になっています。

ESM 固有の構成を実行して、ユーザーにパストークンの生成およびサインオンを可能にする必要がある場合があります。MLDAP ESM モジュールで、多要素認証の使用を許可する各ユーザーについて、LDAP リポジトリ内の属性を次のように設定します。

  • microfocus-MFDS-User-CreateToken"self"
  • microfocus-MFDS-User-UseToken"self"
上位ヘルプ: パストークンへのアクセス
関連概念
ESF Manager のパストークン オプション