| Interstage Application Server シングル・サインオン運用ガイド |
|
目次
索引
|
| 第1章 概要 | > 1.4 認証 |
Interstage シングル・サインオンでは、次の2つの認証方式で利用者を認証することができます。これらの認証方式を組み合わせて運用することも可能です。
なお、アクセスを制御するリソースに対して利用者ごとに認証方式を設定することができます。
利用者ごとの認証方式は、リポジトリサーバのSSOリポジトリで管理するユーザ情報のエントリの“ssoAuthType”の設定により切り替わります。
また、認証には再認証の間隔を設定することが可能です。再認証の間隔が設定されている場合、利用者は認証後から一定時間を経過すると再度、認証を求められます。この機能により、認証後に長時間離席した場合の第三者によるWebシステムの不正利用を防止することができます。
利用者をユーザID/パスワードにより認証する方式で、利用者が使用するコンピュータが不特定な場合に簡単に認証が行えます。
Interstageシングル・サインオンではパスワード認証を運用するにあたり、利用者がユーザID/パスワードを入力する画面として、以下のいずれかを選択することができます。
|
ユーザID/パスワードの入力画面 |
説明 |
以降の説明における表記 |
|
フォーム認証ページ |
認証用のフォームが埋め込まれたWebページ |
フォーム認証 |
|
基本認証ダイアログ |
Webブラウザ標準の認証画面 |
基本認証 |
利用者が業務システムにアクセスすると、フォーム認証の場合にはフォーム認証ページが、基本認証の場合には基本認証ダイアログが表示され、ユーザID/パスワードの入力を促されます。ユーザID/パスワードはSSOリポジトリにユーザ情報としてあらかじめ登録されている必要があり、それに一致するものを提示した利用者だけが認証に成功します。
また、フォーム認証の場合には、利用者はWebブラウザを使用して直接認証基盤のURLにアクセスし、認証を行います。
その後、利用者は業務システムにアクセスすることが可能となります。
認証基盤に直接アクセスして認証を行う場合は、以下のURLにアクセスするように利用者に指導してください。
|
認証基盤のURL/ssoatcag (注1)(注2) |
以降の説明では、上記のURLを“フォーム認証ページのURL”と呼びます。
注1)ポート番号は省略可能(443)であっても必ず指定してください。
注2)業務サーバ作成後に、認証基盤のURLを確認するには、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[認証基盤の情報]の [URL]により確認してください。
認証基盤のURLが“https://authserver.fujitsu.com”の場合、フォーム認証ページのURLは以下のようになります
|
https://authserver.fujitsu.com:443/ssoatcag |
誤ったURLを指定した場合、以下の現象が発生し、認証が正しく行えない場合があります。
フォーム認証ページはカスタマイズすることが可能です。カスタマイズする方法については、“メッセージのカスタマイズ方法”を参照してください。
パスワード認証は簡単に認証が行える反面、パスワードが盗まれ、本人に成りすまされるという危険性があります。
以下に、フォーム認証画面例と各Webブラウザが基本認証のために表示する画面を示します。
フォーム認証画面の例
Microsoft(R) Internet Explorer 6.0の基本認証画面
Netscape Communicator 4.75の基本認証画面
利用者を証明書により認証する認証方式で、使用するコンピュータが特定される場合に便利です。
利用者が業務システム、または認証基盤のURLにアクセスすると、Webブラウザから証明書の提示を促されます。利用者が使用するWebブラウザにあらかじめ証明書を登録しておくことで認証が行われます。この認証方式では、提示された証明書から利用者が特定できることで認証されたとみなします。
また、ICカードに格納された証明書を使用して認証することもできます。認証に必要な情報をICカードに格納して携帯することで、第三者に不正に使用されることを防ぐことができます。
Interstage シングル・サインオンの証明書認証では、提示された証明書の所有者名(Subject)や所有者別名(Subject Alternative Name)エクステンションに格納されている情報を参照して認証を行います。そのため、証明書には以下の情報のどれかが格納されている必要があります。
Interstage シングル・サインオンが参照する証明書の情報
証明書の所有者名(Subject)と所有者別名(Subject Alternative Name)エクステンションに同じ属性が設定されている場合には、次のようになります。
証明書の所有者や所有者別名の情報は、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]で設定する[証明書認証の動作]の[認証に使用する属性]により設定できます。
以下に、各Webブラウザの証明書認証時に表示される証明書選択画面を示します。Webブラウザに複数の証明書が登録されている場合は、どの証明書をWebサーバに提示するかをこの画面より選択します。
Webブラウザに登録している証明書が1つだけの場合は、証明書選択画面を表示せずに登録されている証明書を自動で使用することもできます。証明書選択画面の表示については、“証明書選択画面について”を参照してください。
なお、証明書をWebブラウザに登録する方法については、“セキュリティシステム運用ガイド”を参照してください。
Microsoft(R) Internet Explorer 6.0の証明書選択画面
Netscape Communicator 4.75の証明書選択画面
Netscape Communicatorの場合には証明書選択画面の後に以下の画面が表示されます。
「パスワードまたはピン」は、証明書を使用するユーザを確認するための情報です。正しいパスワード、またはピンを入力すると、選択した証明書がWebサーバに提示されます。
Interstage シングル・サインオンでは、以下で発行された証明書をサポートしています。
Systemwalker PkiMGRについては、Systemwalker PkiMGRのマニュアルを参照してください。
日本ベリサイン株式会社、日本認証サービス株式会社の証明書の発行については、それぞれ、日本ベリサイン株式会社、日本認証サービス株式会社にお問い合わせください。
証明書認証で使用する証明書は、認証サーバで有効性を確認することができます。有効性の確認は、認証サーバに登録されているCRL(Certificate Revocation List)によって行われます。CRLは失効された証明書のリストで、CRLに記載されている証明書が提示された場合、認証は失敗します。
パスワード認証が基本認証で運用されている場合、利用者はWebブラウザなどを使用して認証基盤のURLに直接アクセスすることはできません。
|
目次
索引
|