| Interstage Application Server シングル・サインオン運用ガイド |
|
目次
索引
|
| 第3章 環境構築 | > 3.3 リポジトリサーバの環境構築 | > 3.3.1 SSOリポジトリの構築 |
Interstage シングル・サインオンで管理する利用者のユーザIDやパスワード、認証方式を作成します。
リポジトリサーバの環境構築時では、以下を作成します。
Interstage シングル・サインオンが提供するLDIFファイルには、ユーザ情報の例も含まれています。Interstage シングル・サインオンが提供するLDIFファイルをInfoDirectoryの管理ツールで読み込むことで、簡単にユーザ情報を作成することができます。また、実際の運用環境に合わせて、利用者のエントリ名や属性を変更することもできます。LDIFファイルを使用する方法については、“LDIFファイルを使用したSSOリポジトリの作成例”、SSOリポジトリの変更を行う方法については、“SSOリポジトリの変更方法”を参照してください。
注)提供するLDIFファイルのユーザ情報の最上位エントリについては、変更する必要はありません。
以下に、環境に合わせて変更できるエントリの属性について示します。
ユーザ情報を定義します。
|
オブジェクトクラス |
説明 |
|
top |
基本LDAPオブジェクトクラス |
|
person |
ユーザ情報 |
|
inetOrgPerson |
|
|
ssoUser |
SSOの利用ユーザ情報 |
|
属性名 |
日本語名 |
説明 |
登録例 |
|
cn |
名前 |
姓名を設定します。 |
Fujitsu Tarou |
|
sn |
姓 |
姓を設定します。 |
Fujitsu |
|
uid |
ユーザID |
利用者を特定するユーザIDであり、基本認証に使用するユーザIDとなります。 |
tarou |
|
userPassword |
パスワード |
基本認証に使用するパスワードを設定します。 |
Taroupasswd |
|
userCertificate;binary |
ユーザ証明書 |
証明書認証に使用する利用者の証明書を設定します。 |
バイナリ |
|
givenName |
名 |
名を設定します。 |
Tarou |
|
employeeNumber |
従業員番号 |
社員番号など、利用者に割り当てられている番号を設定します |
000001 |
|
|
電子メールアドレス |
メールアドレスを設定します。 |
tarou@jp.fujitsu.com |
|
その他認証に必要な情報 ※必ず設定する必要はありません。 |
|||
|
ssoRoleName |
SSOロール名 |
利用者が属するロール名を設定します。 |
Admin |
|
ssoAuthType |
SSO認証方式 |
利用者の認証方式を以下の値で設定します。 basicAuth:基本認証 省略した場合は、"basicAuthOrCertAuth"とみなします。 認証サーバの定義ファイルの「auth-constraints-to-network」で接続元IPアドレスに応じた認証方式が設定されており、利用者が設定されたネットワークからシングル・サインオンを利用した場合は、本設定は無効となります。 |
basicAuthOrCertAuth |
|
ssoCredentialTTL |
SSOクレデンシャル有効期間 |
認証情報の有効期間を[分単位]で設定します。 認証サーバの定義ファイルの「auth-constraints-to-network」で接続元IPアドレスに応じた有効期間が設定されており、利用者が設定されたネットワークからシングル・サインオンを利用した場合は、本設定を無効とします。 |
60 |
|
ssoUserStatus |
SSOユーザステータス |
利用者がロックされているかをリポジトリサーバが設定します。 |
good |
|
ssoNotBefore |
SSO有効期間開始日時 |
利用者のシングル・サインオン運用を開始する日時を設定します。 省略した場合は、即時シングル・サインオン運用が可能です。 (注5) |
20030101000000+0900 |
|
ssoNotAfter |
SSO有効期間満了日時 |
利用者のシングル・サインオン運用を終了する日時を設定します。 省略した場合は、無期限でシングル・サインオン運用が可能となります。 |
20030102000000+0900 |
|
ssoFailureCount |
SSOパスワード認証失敗回数 |
利用者が誤ったパスワードを指定して基本認証に失敗した回数です。正しいパスワードを指定して認証に成功すると0にリセットされます。この値はリポジトリサーバが設定します。 |
0 |
|
ssoLockTimeStamp |
SSOロック時間 |
利用者がロックされた日時をグリニッジ標準時(YYYYMMDDHHMMSSZ)でリポジトリサーバが設定します。 |
20020101090000Z |
注1)指定した値は、大文字・小文字の区別をしません。
注2)「uid」には、英数字、記号(ただし":"を除く)が使用できます。英数字、記号(":"を除く)以外を設定した場合には、利用者の認証に失敗します。
注3)「userPassword」には、英数字、記号が設定できます。英数字、記号以外を設定した場合には、利用者の認証に失敗します。
注4)「ssoRoleName」に登録されていないロール名やロールセット名(削除されたため存在しなくなった場合も含む)が設定された場合、そのロール名やロールセット名は無視されます。ロールセット名を設定した場合には存在するロールのみに属することになります。また、設定したロール名やロールセット名が無視された結果、利用者が属するロール名が1つもなかった場合、その利用者はInterstage シングル・サインオンで保護されるサイトにアクセスできなくなります。
注5)「ssoNotBefore」と「ssoNotAfter」に同じ日時を設定しないでください。同じ日時を設定した場合には、利用者の認証に失敗します。また、「ssoNotBefore」に設定した日時よりも「ssoNotAfter」に設定した日時の方が早い場合にも、利用者の認証に失敗します。「ssoNotBefore」と「ssoNotAfter」には、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係なく"20000101000000"から"20371231235959"の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。
注6)本属性を手動で"good"にすることにより、ロック解除をすることができます。"locked"となっている利用者は、認証方式に関係なくシングル・サインオンを利用することはできません。
注7)「ssoUserStatus」には、"good"または"locked"を設定してください。この値以外を設定した場合は、利用者の認証に失敗します。
注8)「ssoFailureCount」には、0〜16の数値を設定してください。範囲外の数値を設定した場合は、利用者の認証に失敗します。「ssoUserStatus」を"good"にする場合は、本属性を手動で"0"にしてください。
注9)本属性は変更しないでください。
|
目次
索引
|