3.3.1 リソース情報の作成

Interstage Application Server シングル・サインオン運用ガイド

目次索引

第3章環境構築

> 3.3 業務サーバの環境構築

3.3.1 リソース情報の作成

　業務サーバでアクセス制御を行うためには、業務サーバ管理者は以下の情報をSSO管理者に連絡します。

業務サーバのURL（業務サーバのFQDN（Fully Qualified Domain Name）:ポート番号/アクセス制御の対象とするパス）
認可対象のURLと認可するロール名またはロールセット、認可された時に通知するユーザ属性

　業務サーバの前にロードバランサやInterstage Traffic Directorを設置して運用する場合は、URLにはロードバランサやInterstage Traffic Directorで設定した仮想IPアドレスのホスト名を用います。

　SSO管理者は、入手した情報を以下に設定する必要があります。

SSOリポジトリのアクセス制御情報
認証サーバの定義ファイル

SSOリポジトリのアクセス制御情報への設定

　以下に、アクセス制御情報に業務サーバのURLを設定する方法について説明します。
　なお、ロールによる認可については、“ロールによる認可”または“ロールセットによる認可”を参照してください。また、認可された時に通知するユーザ属性については、“環境変数による通知情報の設定”を参照してください。

　業務サーバのURLをSSOリポジトリのアクセス制御情報に設定する場合は、設定するURLをドメイン（“保護リソース”）、サイト（“サイト定義”）、パス（“パス定義”）に分けて行います。

保護リソース

　アクセス制御の対象とするドメインを定義します。

オブジェクトクラス	説明
top	基本LDAPオブジェクトクラス
domain	ドメイン情報

属性名	日本語名	説明	登録例
dc	ドメインコンポーネント	ドメインコンポーネント名を設定します。 (注)	comやfujitsu

注)指定した値は、大文字・小文字の区別をしません。

サイト定義

　アクセス制御の対象とするサイトを定義します。

オブジェクトクラス	説明
top	基本LDAPオブジェクトクラス
domain	ドメイン
ssoSite	SSO　サイト情報

属性	日本語名	説明	登録例
dc	ドメインコンポーネント	サイト名を設定します。 (注)	www
ssoPortNumber	SSOポート番号	ポート番号を設定します。	443

注)指定した値は、大文字・小文字の区別をしません。

パス定義

　アクセス制御の対象とするパスを定義します。

オブジェクトクラス	説明
top	基本LDAPオブジェクトクラス
ssoResource	SSOパス情報

属性	日本語名	説明	登録例
cn	名前	パスを設定します。本属性を複数指定しないでください。 (注1)(注4)	/admin/
ssoRoleName	SSOロール名	リソースを利用することができるロール名またはロールセット名を設定します。本属性を複数設定することも可能です。複数設定した場合は、ロール名のいずれかが利用者のロールと一致していることで保護リソースへのアクセスを許可します。 (注2)(注4)	AdminSet
ssoUserAttribute	SSOユーザ属性	CGIなどのWebアプリケーションに通知するユーザ情報に設定されている属性名を設定します。詳細は、“環境変数による通知情報の設定”を参照してください。本属性を複数設定することも可能です。 (注3)(注4)	mail

注1)「cn」には、英数字、記号以外を設定しないでください。
注2)「ssoRoleName」には、“,”（カンマ）を含むロール名を設定しないでください。
注3)「ssoUserAttribute」に設定するユーザ属性には、値として英数字、記号のみが設定されている属性を使用してください。
注4) 指定した値は、大文字・小文字の区別をしません。

アクセス制御の対象とするパスがディレクトリの場合には、必ず最後に“/”を付けてください。

　/admin/，/leader/mydir/
アクセス制御の対象とするパスがファイルなどの場合は、最後に“/”を付けないようにしてください。

　/admin/example.html，/leader/mydir/example.asp
URLにファイル名が指定されていない場合、index.htmlなどデフォルトのファイルを返すようにWebサーバを設定することができます。このようなデフォルトのファイルをアクセス制御の対象にする場合、パス定義には、必ずそのファイルを含むディレクトリを設定してください。
保護リソース情報の追加、変更、または削除を行った場合は、アクセス制御情報ファイルの設定を行う必要があります。アクセス制御情報ファイルについては、“業務サーバの環境構築”の“アクセス制御情報の設定”を参照してください。
リポジトリサーバ、認証サーバをバーチャルホストで設定することによって、“/”（ルートパス）に対するアクセス制御を行うことができます。

長いファイル名から自動的に生成される8.3形式ファイル名を、パス定義に指定することはできません。長いファイル名で指定してください。フォルダ名も同様です。
シングル・サインオンでは、以下の形式のフォルダ名／ファイル名などを含むパスには対応していません。このようなパスにならないようにコンテンツを作成／配置してください。
　・8.3形式で、拡張子を除くファイル名が ~n (“n”は一桁の数字) で終わるもの
　　（例：“exampl~1”、“abc~2.htm” など）
このようなパスをブラウザで指定した場合、アクセス制御情報の内容によらずエラー画面が表示されます。
“.”で終わるフォルダ名／ファイル名などを含むパスをパス定義に指定することはできません。

認証サーバの定義ファイルへの設定

　認証サーバの定義ファイルに以下の定義項目を設定することで、保護リソース以外からの不正な認証要求を抑止することができます。
　セキュリティ上、不正な認証要求を抑止するように本定義項目を設定することを推奨します。

reject-incorrect-protection-resource-url
protection-resource-url

　“protection-resource-url”には、業務サーバ管理者から入手した業務サーバのURLを設定してください。
　なお、定義ファイルを編集した場合は、認証サーバのInterstage HTTP Serverを再起動してください

“protection-resource-url”には、SSOリポジトリに登録したすべての保護リソース情報を正しく設定してください。設定値がSSOリポジトリに登録した保護リソース情報と同等でない場合、保護リソース以外からの認証要求の抑止が正しく行われません。
SSOリポジトリ上の保護リソース情報の追加、変更、または削除を行った場合は、“protection-resource-url”を編集し、認証サーバのInterstage HTTP Serverを再起動してください。保護リソース情報の変更については、“保護リソース定義の変更”を参照してください。

Interstage Security DirectorのInterstage シングル・サインオン連携機能を使用する場合

　Interstage Security Directorが提供するInterstage シングル・サインオン連携機能を使用する場合、認証サーバの定義項目“protection-resource-url”には、以下のURL形式で設定してください。
<URL形式>
　[プロトコルスキーム][ホスト名][:ポート番号][パス]
[プロトコルスキーム]：
　Interstage Security Directorのクライアント間の通信方法に合わせて、以下のように設定します。
　　・Interstage Security Directorとクライアント間がHTTP通信の場合
　　　“http://”を設定します。
　　・Interstage Security Directorとクライアント間がSSL通信の場合
　　　“https://”を設定します。
[ホスト名]：
　認証サーバへ送信するPROXYサーバの自サーバ名を設定します。
　Interstage Security Directorの以下に指定したサーバ名を設定してください。
　　・Interstage シングル・サインオン認証サーバ設定の“PROXYの自サーバ名”
[:ポート番号]：
　PROXYサーバがクライアントからの要求を受け付けるポート番号を設定します。
　Interstage Security Directorの以下に指定したポート番号を設定してください。
　　・PROXYサーバ環境設定の基本設定の“ポート番号”
[パス]：
　“/”を設定してください。

　Interstage Security Directorの設定については、Interstage Security Directorのマニュアルの、“HTTPアプリケーションゲートウェイ機能説明書(統合環境設定編)”-“Interstage シングル・サインオン連携機能”を参照してください。

目次索引