|
Interstage Application Server シングル・サインオン運用ガイド
|
目次
索引
 
|
2.3.2.5 ユーザ情報のエントリ
ユーザ情報をSSOリポジトリに登録する際のエントリについて説明します。
ユーザ情報のエントリで設定できる各属性は運用に応じて以下のように設定してください。
- 証明書認証を行う場合に必ず設定が必要な属性(注)
- mail
- employeeNumber
- uid
- serialNumber
- dnQualifier
- 運用に応じて設定が必要な属性
- ssoAuthType
- ssoRoleName
- ssoCredentialTTL
- ssoNotBefore
- ssoNotAfter
- 設定不要な属性
- ssoUserStatus
- ssoFailureCount
- ssoLockTimeStamp
(注)証明書中の所有者名の情報から利用者を一意に特定する属性にcnを使用しない場合は、いずれかを必ず設定してください。
オブジェクトクラス
SSOリポジトリに登録される利用者は、以下のオブジェクトクラスで管理されます。利用者情報をSSOリポジトリに登録する際には以下のオブジェクトクラスを必ず設定してください。
|
ユーザ情報オブジェクトクラス |
説明 |
|
top |
基本LDAPオブジェクトクラス |
|
person |
ユーザ情報 |
|
organizationalPerson |
|
inetOrgPerson |
|
ssoUser |
SSOの利用ユーザ情報 |
属性
利用者のユーザIDやパスワード、認証方式などは上記オブジェクトクラスの属性として設定します。Interstage シングル・サインオンで使用する属性は以下です。
|
ユーザ情報オブジェクトクラス |
属性名 |
日本語名 |
|
person |
cn |
名前
例)Fujitsu Tarou |
|
sn |
姓、またはラストネーム
例)Fujitsu |
|
userPassword |
パスワード
例)Tarou1234 |
|
organizationalPerson |
SSOの運用で使用する属性はありません。 |
- |
|
inetOrgPerson |
uid |
ユーザID
例)tarou |
|
employeeNumber |
従業員番号
例)000001 |
|
mail |
電子メールアドレス
例)tarou@jp.fujitsu.com |
|
device |
serialNumber |
シリアル番号
例)1234-1234-AB |
|
ssoUser |
ssoRoleName |
ロール名、またはロールセット名
例)Admin |
|
ssoAuthType |
認証方式
例)basicAuthOrCertAuth |
|
ssoCredentialTTL |
再認証の間隔
例)60 |
|
ssoUserStatus |
ユーザステータス |
|
ssoNotBefore |
有効期間開始日時
例)20030101000000+0900 |
|
ssoNotAfter |
有効期間満了日時
例)20030102000000+0900 |
|
ssoFailureCount |
ユーザ名/パスワードによる認証失敗回数 |
|
ssoLockTimeStamp |
ロックアウト時間 |
|
dnQualifier |
DN修飾子 |
(1)cn
- 説明
- 名前として姓名を設定します。利用者のエントリを特定する名前です。
必ず設定してください。
- 設定可能な文字種
- ・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、シングルクォーテーション(')、コロン(:)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
- 設定例
- Fujitsu Tarou
- 注意事項
- 設定した値は、大文字・小文字の区別をしません。
(2)sn
- 説明
- 姓、またはラストネームを設定します。personオブジェクトクラスの必須属性です。
必ず設定してください。
- 設定可能な文字種
- ・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、シングルクォーテーション(')、コロン(:)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
- 設定例
- Fujitsu
- 注意事項
- 設定した値は、大文字・小文字の区別をしません。
(3)userPassword
- 説明
- 利用者がパスワード認証に使用するパスワードを設定してください。
- 設定可能な文字種
- ・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、小なり(<)、大なり(>)、プラス(+)、ハイフン(-)、イコール(=)、アスタリスク(*)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、カンマ(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
- 設定可能なサイズ
- 128バイト
- 設定例
- Tarou1234
- 注意事項
- ・本属性に設定可能な文字以外を設定した場合には、利用者の認証に失敗します。
・設定した値は、大文字・小文字の区別をします。
・本属性を複数設定しないでください。複数設定した場合は、利用者の認証が正しく行われない場合があります。
(4)uid
- 説明
- 利用者がパスワード認証に使用するユーザIDを設定してください。
必ず一意のIDを設定してください。
- 設定可能な文字種
- ・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、プラス(+)、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、セミコロン(;)、カンマ(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
- 設定例
- tarou
- 注意事項
- ・設定した値は、大文字・小文字の区別をしません。
・本属性に設定可能な文字以外を設定した場合には、利用者の認証に失敗します。
・本属性を複数設定しないでください。複数設定した場合は、利用者の認証が正しく行われません。
(5)employeeNumber
- 説明
- 従業員番号など、利用者に割り当てられている番号を設定します。
証明書認証による運用において従業員番号で利用者を特定する場合は必ず一意の番号を設定してください。
- 設定可能な文字種
- ・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、プラス(+)、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、カンマ(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
- 設定例
- 000001
- 注意事項
- 設定した値は、大文字・小文字の区別をしません。
(6)mail
- 説明
- 電子メールアドレスを設定します。
証明書認証による運用において電子メールアドレスで利用者を特定する場合は必ず一意のアドレスを設定してください。
- 設定可能な文字種
- ・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、プラス(+)、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、カンマ(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
- 設定例
- tarou@jp.fujitsu.com
- 注意事項
- 設定した値は、大文字・小文字の区別をしません。
(7)serialNumber
- 説明
- シリアル番号を設定します。
証明書認証による運用においてシリアル番号で利用者を特定する場合は必ず一意の番号を設定してください。
- 設定可能な文字種
- ・英数字
・スペース( )、シングルクォーテーション(')、左括弧(()、右括弧())、プラス(+)、カンマ(,)、ハイフン(-)、ピリオド(.)、スラッシュ(/)、コロン(:)、イコール(=)、クエスチョンマーク(?)
- 設定例
- 1234-1234-AB
- 注意事項
- 設定した値は、大文字・小文字の区別をしません。
(8)ssoRoleName
- 説明
- 利用者が属するロール名、またはロールセット名を設定します。
複数設定する場合は、「ssoRoleName」属性を複数設定してください。
- 設定可能な文字種
- ・英数字
・日本語
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、小なり(<)、大なり(>)、プラス(+)、ハイフン(-)、イコール(=)、アスタリスク(*)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
- 設定可能なサイズ
- 32バイト
- 設定例
- Admin
- 注意事項
- 本属性に、ロール定義に登録されていないロールやロールセット(削除されたため存在しなくなった場合も含む)が設定された場合、本属性は無視されます。また、本属性の設定が無視された結果、利用者の属するロールが1つもなかった場合、その利用者はInterstage シングル・サインオンで保護されるサイトにアクセスできなくなります。
(9)ssoAuthType
- 説明
- 利用者の認証方式を設定します。
省略した場合は、“basicAuthOrCertAuth”と見なします。
basicAuth:パスワード認証
certAuth:証明書認証
basicAuthAndCertAuth:パスワード認証かつ証明書認証
basicAuthOrCertAuth:パスワード認証または証明書認証
- 設定可能な文字種
- ・basicAuth
・certAuth
・basicAuthAndCertAuth
・basicAuthOrCertAuth
- 設定例
- basicAuthOrCertAuth
- 注意事項
- 設定した値は、大文字・小文字の区別をしません。
(10)ssoCredentialTTL
- 説明
- 再認証の間隔を[分単位]で設定します。
“0”、および“30”〜“1440”の範囲で設定してください。
“0”を設定した場合は、再認証は行いません。
省略した場合は、認証サーバの環境設定の[認証後の動作]の[再認証の間隔]に設定された定義値を再認証の間隔とします。
- 設定可能な文字種
- ・数字
- 設定例
- 60
- 注意事項
- “30”未満を設定した場合は“30”分に、“1440”を超える値を設定した場合は“1440”分(24時間)と見なします。
(11)ssoUserStatus
- 説明
- 利用者のアカウントのロック状態が以下の値で設定されます。
good:ロックされていない
locked:ロックされている
- 設定例
- good
- 注意事項
- ロック状態の解除はInterstage管理コンソールの[利用者のロック解除]設定で行います。
SSOリポジトリへの直接設定や変更を行わないでください。
ロック状態の解除方法については“ロックアウトの解除”を参照してください。
(12)ssoNotBefore
- 説明
- 利用者のシングル・サインオンを利用開始する日時を設定します。
設定した日時以前に利用者がシングル・サインオンを利用した場合には認証に失敗します。
日本時間を設定する場合は、“YYYYMMDDHHMMSS+0900”という形式で設定してください。グリニッジ標準時で設定する場合は“YYYYMMDDHHMMSSZ”という形式で設定してください。省略した場合は、即時にシングル・サインオンを利用できます。
- YYYY:年(西暦4桁)
- MM :月(2桁)
- DD :日(2桁)
- HH :時(24時間制2桁)
- MM :分(2桁)
- SS :秒(2桁)
- 設定可能な文字種
- ・数字
- 設定例
- 20030101000000+0900
- 注意事項
- ・「ssoNotBefore」と「ssoNotAfter」には別の日時を設定してください。同じ日時を設定した場合には、利用者の認証に失敗します。
・「ssoNotBefore」は「ssoNotAfter」よりも早い日時を設定してください。「ssoNotBefore」に設定した日時よりも「ssoNotAfter」に設定した日時の方が早い場合には、利用者の認証に失敗します。
・「ssoNotBefore」と「ssoNotAfter」には、日本時間で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。
(13)ssoNotAfter
- 説明
- 利用者のシングル・サインオンを利用終了する日時を設定します。
設定した日時以降に利用者がシングル・サインオンを利用した場合には認証に失敗します。
日本時間を設定する場合は、“YYYYMMDDHHMMSS+0900”という形式で設定してください。グリニッジ標準時で設定する場合は“YYYYMMDDHHMMSSZ”という形式で設定してください。省略した場合は、無期限でシングル・サインオンの利用が可能となります。
- YYYY:年(西暦4桁)
- MM :月(2桁)
- DD :日(2桁)
- HH :時(24時間制2桁)
- MM :分(2桁)
- SS :秒(2桁)
- 設定可能な文字種
- ・数字
- 設定例
- 20030102000000+0900
- 注意事項
- ・「ssoNotBefore」と「ssoNotAfter」には別の日時を設定してください。同じ日時を設定した場合には、利用者の認証に失敗します。
・「ssoNotBefore」は「ssoNotAfter」よりも早い日時を設定してください。「ssoNotBefore」に設定した日時よりも「ssoNotAfter」に設定した日時の方が早い場合には、利用者の認証に失敗します。
・「ssoNotBefore」と「ssoNotAfter」には、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。
(14)ssoFailureCount
- 説明
- 利用者がユーザ名/パスワードによる認証に失敗した回数です。
正しいユーザ名/パスワードを指定して認証に成功すると0にリセットされます。この値はリポジトリサーバにより設定されます。
- 注意事項
- 本属性は設定、および変更しないでください。
(15)ssoLockTimeStamp
- 説明
- リポジトリサーバにより利用者がロックされた日時がグリニッジ標準時(YYYYMMDDHHMMSSZ)で設定されます。
- 注意事項
- 本属性は設定、および変更しないでください。
(16)dnQualifier
- 説明
- DN修飾子を設定します。
証明書認証による運用においてDN修飾子で利用者を特定する場合は必ず一意の番号を設定してください。
- 設定可能な文字種
- ・英数字
・スペース( )、シングルクォーテーション(')、左括弧(()、右括弧())、プラス(+)、カンマ(,)、ハイフン(-)、ピリオド(.)、スラッシュ(/)、コロン(:)、イコール(=)、クエスチョンマーク(?)
- 注意事項
- 設定した値は、大文字・小文字の区別をしません。
All Rights Reserved, Copyright(C) 富士通株式会社 2005