| Interstage Application Server シングル・サインオン運用ガイド |
|
目次
索引
|
| 第3章 環境構築 | > 3.3 リポジトリサーバの環境構築 |
Interstage シングル・サインオンの認証および認可に必要となるアクセス制御情報やユーザ情報をSSOリポジトリに登録します。アクセス制御情報には、Interstage シングル・サインオンで保護するリソースとロールを定義します。また、ユーザ情報には、利用者のユーザIDやパスワード、認証方式などの情報を定義します。
SSOリポジトリの構築の流れを以下に示します。
Interstage シングル・サインオンのSSOリポジトリは、InfoDirectoryを使用します。SSOリポジトリの構築には、ディレクトリスキーマの設計に関する知識とInfoDirectory管理ツールの操作知識が必要ですので、事前に“InfoDirectory使用手引書”を参照することを推奨します。
以下にInterstage シングル・サインオンのSSOリポジトリの例を示します。
例に示されたようなSSOリポジトリを構築する場合は、SSOリポジトリの構築準備を行ったあと、Interstage シングル・サインオンが提供するLDIFファイルを使用して、SSOリポジトリを構築することができます。LDIFファイルを使用してSSOリポジトリを構築する方法は、“LDIFファイルを使用したSSOリポジトリの作成例”で説明します。
SSOリポジトリの例
利用者の認可に必要なロール定義と保護リソースを定義します。
ロールやロールセットのロール名とロール情報、または、ロールセット情報を定義します。
上記の図では、ロールとしてロール名に"Admin"を、ロール情報に"ssoRole"を定義しています。また、ロール"Admin"を含むロールセットとしてロール名に"AdminSet"を、ロールセット情報に"ssoRoleSet"を定義しています。同様に、ロールセット"AdminSet"とロール"Leader"を含むロールセットとしてロール名に"LeaderSet"を、ロールセット情報に"ssoRoleSet"を定義しています。(上記の図では、ロール"Leader"の定義は明記されていませんが、ロール"Admin"と同様にロール名に"Leader"を、ロール情報に"ssoRole"を定義しているものとしています。)
利用者の認可の対象となるリソースを定義します。保護リソースは、サイト定義とパス定義を含んでいます。
上記の図では、認可の対象となるリソースを"www.fujitsu.com:443/admin/"や"www.fujitsu.com:443/leader/"とした場合です。
保護リソース定義のサイト名を定義します。
上記の図では、"www+ssoPortNumber=443"となります。
保護リソース定義のパス情報と認可するロール名を定義します。
ロール名を複数設定した場合は、ロール名のいずれかが利用者のロールと一致していることで保護リソースへのアクセスを許可します。
上記の図では、パス情報"/admin/"が認可するロールは"AdminSet"と定義し、パス情報"/leader/"が認可するロールは"LeaderSet"と定義しています。
利用者に割り当てられるロールや、利用者ごとに設定する認証方式を設定します。
上記の図では、富士通太郎のユーザ情報に所有するロールとして"Admin"を、認証方式として“基本認証または証明書認証”を設定しています。
3.3.1.1 構築準備3.3.1.2 ユーザ情報の作成3.3.1.3 アクセス制御情報の準備3.3.1.4 LDIFファイルを使用したSSOリポジトリの作成例3.3.1.5 SSOリポジトリの変更方法|
目次
索引
|