| Interstage Application Server シングル・サインオン運用ガイド |
|
目次
索引
|
| 第2章 機能 | > 2.4 高信頼性システム |
Interstage Security Directorが提供するHTTPアプリケーションゲートウェイ機能と連携することにより、クライアントがインターネットからアクセスするシングル・サインオンの運用を安全に実現することができます。
Interstage Security Directorは、アプリケーションサーバとインターネットとの間で行われるデータ通信のセキュリティ問題を解決するための製品です。
Interstage Security Directorが提供するInterstage シングル・サインオン連携機能により、Interstage Security Directorで実施するアクセス制御の認証基盤として認証サーバと連携することができます。認証サーバとの連携により、Interstage Security Directorでのロール制御、ユーザ制御が可能になります。また、ユーザ単位での認証方式、有効時間などをInterstage シングル・サインオンのポリシーに統一することが可能となります。Interstage シングル・サインオン連携機能については、Interstage Security Directorのマニュアルの“HTTPアプリケーションゲートウェイ機能説明書(統合環境設定編)”−“Interstage シングル・サインオン連携機能”を参照してください。
また、Interstage Security Directorが提供するリバース機能により、インターネット上のクライアントから、より安全なイントラネット内へのアクセスを可能とすることができます。
以下に、Interstage Security Directorのリバース機能のみを使用して構築できる2通りのシステムの設定について説明します。
インターネット上のクライアント、およびイントラネット内のクライアントの両方からアクセスが可能であるシングル・サインオンのシステムについて説明します。
本システムで運用する場合は、以下の点に注意してください。
本システムで証明書認証を行う場合は、以下のように認証サーバ、およびInterstage Security Directorの設定を行ってください。
認証サーバの設定
Interstage Security Directorの設定
Interstage Security Directorの設定については、Interstage Security Directorのマニュアルの“HTTPアプリケーションゲートウェイ機能説明書(統合環境設定編)”を参照して、Interstage シングル・サインオン連携機能を使用する場合の設定と同一の設定を行ってください。
ただし、Interstage Security Directorのマニュアルの“HTTPアプリケーションゲートウェイ機能説明書(統合環境設定編)”−“Interstage シングル・サインオン認証サーバ設定”に記載されている設定を行う必要はありません。
【Interstage Security Directorと認証サーバの間を非SSL通信で行う】
本システム構成で運用を行う場合は、イントラネット内の認証サーバとクライアントの間にはSSL Acceleratorを設置してください。なお、SSL Acceleratorのポート番号はInterstage Security Directorのポート番号と同一にしてください。
小規模システムで運用する場合は、認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択し、[簡易設定]の[SSLの運用]を“その他で行う”に設定してください。
中規模、または大規模システムで運用する場合は、認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択後、[認証サーバの作成]を選択し、[簡易設定]の[SSLの運用]を“その他で行う”に設定してください。
【Interstage Security Directorと認証サーバの間をSSL通信で行う】
Interstage Security Directorと認証サーバの間をSSL通信で行うことにより、よりセキュリティを強化することができます。
インターネット上のクライアントからアクセスする利用者の認証方式に応じて以下の設定を行ってください。なお、利用者の認証方式として“基本認証または証明書認証”を使用することはできません。
インターネット上のクライアントのみアクセスすることが可能なシングル・サインオンのシステムについて説明します。
本システムで運用する場合は、以下の点に注意してください。
本システムで証明書認証を行う場合は、以下のように認証サーバ、およびInterstage Security Directorの設定を行ってください。
認証サーバの設定
Interstage Security Directorの設定
また、Interstage Security Directorのリバース機能を使用するために、“リバース設定”を参照してInterstage Security Directorの設定を行ってください。
なお、Interstage Security Directorのその他の設定については、Interstage Security Directorのマニュアルの“HTTPアプリケーションゲートウェイ機能説明書(統合環境設定編)”を参照してください。
【Interstage Security Directorと認証サーバの間を非SSL通信で行う】
小規模システムで運用する場合は、認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択し、[簡易設定]の[SSLの運用]を“その他で行う”に設定してください。
中規模、または大規模システムで運用する場合は、認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択後、[認証サーバの作成]を選択し、[簡易設定]の[SSLの運用]を“その他で行う”に設定してください。
【Interstage Security Directorと認証サーバの間をSSL通信で行う】
Interstage Security Directorと認証サーバの間をSSL通信で行うことにより、よりセキュリティを強化することができます。
認証サーバのSSLの定義を作成する際には、[システム] > [セキュリティ] > [SSL] > [新規作成]タブを選択し、[簡易設定]で[クライアント認証]に“しない”を設定してください。
下図にしたがって、上記 2. のシステムの場合におけるリバース設定の例を以下に示します。
|
要求元URL |
変換制御 |
中継先URL |
備考 |
|
https://sd.fujitsu.com:443/dir1/ |
<--------> |
http://www.fujitsu.com:80/dir1/ |
業務サーバ1のリバース設定 |
|
https://sd.fujitsu.com:443/dir2/ |
<--------> |
http://www.fujitsu.com:80/dir2/ |
|
|
https://sd.fujitsu.com:443/dir3/ |
<--------> |
http://www2.fujitsu.com:80/dir3/ |
業務サーバ2のリバース設定 |
|
https://sd.fujitsu.com:443/auth/ |
---------> |
http://auth.fujitsu.com:80/ |
認証サーバのリバース設定 |
|
https://sd.fujitsu.com:443/auth/ |
<--------- |
https://auth.fujitsu.com:443/ |
|
|
https://sd.fujitsu.com:443/ |
<--------- |
https://sd.fujitsu.com:443/ |
追加で必要なリバース設定 |
|
目次
索引
|