1.5.1 利用者認証についての留意事項

Interstage Portalworks 管理者ガイド

目次索引

1.5.1 利用者認証についての留意事項

フォーム認証についての留意事項

代理ログオン機能を利用してフォーム認証を行った場合、フォーム認証ページでないページ（たとえば，パスワード変更をするためのページ）がフォーム認証ページとみなされてしまうことがあります。このような場合は、WebUSP運用管理の拡張機能を利用し、該当するページのフォーム認証を無効に設定してください。または、利用者の［フォーム認証情報設定確認］画面で［保存する］ラジオボタンをクリックし、かつ、［このページは代理ログオンの対象にしない。］チェックボックスをチェックしてください。それ以降、このページはフォーム認証画面とはみなされなくなります。

WebUSP運用管理の拡張機能については、“4.3.1 WebUSP運用情報の設定”を参照してください。
［フォーム認証情報設定確認］画面の詳細については、“Portalworks利用者ガイド”を参照してください。

基本認証についての留意事項

ベーシック認証を継承した追い出し機能を利用する場合、ActiveXを利用します。

ActiveXはマイクロソフトのセキュリティパッチMS04-004にて利用が行えなくなった“user:pass@”付きのURLの動作を、“user:pass@”付きのURLを利用せずに実現する処理が行われます。

ActiveXを利用することで以下の脅威があげられます。

URL詐称によるフィッシングの問題
ユーザの入力を迂回する問題（悪用されて）

これらの脅威に対し、以下の対象を行っています。

ブラウザに表示されるURLと表示されるコンテンツのURLを同じものとしています。
ActiveXは呼出元サイトを確認する仕組みを実装しており、呼出元サイトを信頼することにより回避できます。

「ベーシック認証を継承した除外URLリスト」に設定したサイトに一番初めにアクセスする際、ActiveXコントロールがインストールされます。以下の点に注意してください。

本製品では、ActiveXコントロールに対し、デジタル署名して出荷しています。デジタル署名に使用した証明書の有効期限は、ブラウザに表示される証明書で確認できます。本製品のActiveXコントロールには、有効期限内の証明書でデジタル署名しています。
デジタル署名されたJavaアプレットまたはActiveXコントロールをダウンロードする際、証明書の有効期限内、外であっても「セキュリティの警告」画面が表示されます。
Windows(R) NT/2000/XPでは、JavaアプレットまたはActiveXコントロールをダウンロードする際、AdministratorまたはPowerUserのアカウントでWindowsにログオンしておく必要があります。
各利用者のInternet Explorerのセキュリティレベルを、インターネットゾーンに対しては「中」、イントラネットゾーンに対しては「中低」に設定することを推奨します（信頼済みサイトに関してはこの限りではありません）。もしくは、以下のような設定を推奨します。
- 「ActiveXコントロールとプラグインの実行」を「ダイアログを表示する」とする。
- 「スクリプトを実行しても安全だとマークされていないActiveXコントロールの初期化とスクリプトの実行」を「無効にする」とする。
- 「スクリプトを実行しても安全だとマークされているActiveXコントロールのスクリプトの実行」を「ダイアログを表示する」とする。
- 「署名済みActiveXコントロールのダウンロード」を「ダイアログを表示する」とする。
- 「未署名のActiveXコントロールのダウンロード」を「無効にする」とする。
Internet Explorerを利用するパソコンにはスクリプト実行プラグインが登録されます。一度登録されたプラグインはブラウザを終了してもパソコンに登録されたままとなります。登録されていてもパソコンの動作に影響を及ぼすことはありませんが、プラグインの登録を解除する場合は、次の手順で行ってください。
- Internet Explorerの[インターネットオプション]→インターネット一時ファイル[設定]→[オブジェクトの表示]を開いて「PwAppCtlImpl Class」を削除してください。

目次索引