Interstage Application Server シングル・サインオン運用ガイド |
目次
索引
![]() ![]() |
第3章 環境構築 | > 3.3 業務サーバの環境構築 |
業務サーバでアクセス制御を行うためには、業務サーバ管理者は以下の情報をSSO管理者に連絡します。
業務サーバの前にロードバランサやInterstage Traffic Directorを設置して運用する場合は、URLにはロードバランサやInterstage Traffic Directorで設定した仮想IPアドレスのホスト名を用います。
SSO管理者は、入手した情報を以下に設定する必要があります。
以下に、アクセス制御情報に業務サーバのURLを設定する方法について説明します。
なお、ロールによる認可については、“ロールによる認可”または“ロールセットによる認可”を参照してください。また、認可された時に通知するユーザ属性については、“環境変数による通知情報の設定”を参照してください。
業務サーバのURLをSSOリポジトリのアクセス制御情報に設定する場合は、設定するURLをドメイン(“保護リソース”)、サイト(“サイト定義”)、パス(“パス定義”)に分けて行います。
アクセス制御の対象とするドメインを定義します。
オブジェクトクラス |
説明 |
top |
基本LDAPオブジェクトクラス |
domain |
ドメイン情報 |
属性名 |
日本語名 |
説明 |
登録例 |
dc |
ドメインコンポーネント |
ドメインコンポーネント名を設定します。 |
comやfujitsu |
注)指定した値は、大文字・小文字の区別をしません。
アクセス制御の対象とするサイトを定義します。
オブジェクトクラス |
説明 |
top |
基本LDAPオブジェクトクラス |
domain |
ドメイン |
ssoSite |
SSO サイト情報 |
属性 |
日本語名 |
説明 |
登録例 |
dc |
ドメインコンポーネント |
サイト名を設定します。 |
www |
ssoPortNumber |
SSOポート番号 |
ポート番号を設定します。 |
443 |
注)指定した値は、大文字・小文字の区別をしません。
アクセス制御の対象とするパスを定義します。
オブジェクトクラス |
説明 |
top |
基本LDAPオブジェクトクラス |
ssoResource |
SSOパス情報 |
属性 |
日本語名 |
説明 |
登録例 |
cn |
名前 |
パスを設定します。本属性を複数指定しないでください。 (注1)(注4) |
/admin/ |
ssoRoleName |
SSOロール名 |
リソースを利用することができるロール名またはロールセット名を設定します。本属性を複数設定することも可能です。 (注2)(注4) |
AdminSet |
ssoUserAttribute |
SSOユーザ属性 |
CGIなどのWebアプリケーションに通知するユーザ情報に設定されている属性名を設定します。 本属性を複数設定することも可能です。 (注3)(注4) |
|
注1)「cn」には、英数字、記号以外を設定しないでください。
注2)「ssoRoleName」には、“,”(カンマ)を含むロール名を設定しないでください。
注3)「ssoUserAttribute」に設定するユーザ属性には、値として英数字、記号のみが設定されている属性を使用してください。
注4) 指定した値は、大文字・小文字の区別をしません。
/admin/,/leader/mydir/ |
/admin/example.html,/leader/mydir/example.asp |
認証サーバの定義ファイルに以下の定義項目を設定することで、保護リソース以外からの不正な認証要求を抑止することができます。
セキュリティ上、不正な認証要求を抑止するように本定義項目を設定することを推奨します。
“protection-resource-url”には、業務サーバ管理者から入手した業務サーバのURLを設定してください。
なお、定義ファイルを編集した場合は、認証サーバのInterstage HTTP Serverを再起動してください
Interstage Security Directorが提供するInterstage シングル・サインオン連携機能を使用する場合、認証サーバの定義項目“protection-resource-url”には、以下のURL形式で設定してください。
<URL形式>
[プロトコルスキーム][ホスト名][:ポート番号][パス]
[プロトコルスキーム]:
Interstage Security Directorのクライアント間の通信方法に合わせて、以下のように設定します。
・Interstage Security Directorとクライアント間がHTTP通信の場合
“http://”を設定します。
・Interstage Security Directorとクライアント間がSSL通信の場合
“https://”を設定します。
[ホスト名]:
認証サーバへ送信するPROXYサーバの自サーバ名を設定します。
Interstage Security Directorの以下に指定したサーバ名を設定してください。
・Interstage シングル・サインオン認証サーバ設定の“PROXYの自サーバ名”
[:ポート番号]:
PROXYサーバがクライアントからの要求を受け付けるポート番号を設定します。
Interstage Security Directorの以下に指定したポート番号を設定してください。
・PROXYサーバ環境設定の基本設定の“ポート番号”
[パス]:
“/”を設定してください。
Interstage Security Directorの設定については、Interstage Security Directorのマニュアルの、“HTTPアプリケーションゲートウェイ機能説明書(統合環境設定編)”-“Interstage シングル・サインオン連携機能”を参照してください。
目次
索引
![]() ![]() |