Interstage Application Server シングル・サインオン運用ガイド
目次 索引 前ページ次ページ

第3章 環境構築> 3.3 業務サーバの環境構築

3.3.1 リソース情報の作成

 業務サーバでアクセス制御を行うためには、業務サーバ管理者は以下の情報をSSO管理者に連絡します。

 業務サーバの前にロードバランサやInterstage Traffic Directorを設置して運用する場合は、URLにはロードバランサやInterstage Traffic Directorで設定した仮想IPアドレスのホスト名を用います。

 SSO管理者は、入手した情報を以下に設定する必要があります。

SSOリポジトリのアクセス制御情報への設定

 以下に、アクセス制御情報に業務サーバのURLを設定する方法について説明します。
 なお、ロールによる認可については、“ロールによる認可”または“ロールセットによる認可”を参照してください。また、認可された時に通知するユーザ属性については、“環境変数による通知情報の設定”を参照してください。

 業務サーバのURLをSSOリポジトリのアクセス制御情報に設定する場合は、設定するURLをドメイン(“保護リソース”)、サイト(“サイト定義”)、パス(“パス定義”)に分けて行います。

保護リソース

 アクセス制御の対象とするドメインを定義します。

オブジェクトクラス

説明

top

基本LDAPオブジェクトクラス

domain

ドメイン情報

 

属性名

日本語名

説明

登録例

dc

ドメインコンポーネント

ドメインコンポーネント名を設定します。
(注)

comやfujitsu

注)指定した値は、大文字・小文字の区別をしません。

サイト定義

 アクセス制御の対象とするサイトを定義します。

オブジェクトクラス

説明

top

基本LDAPオブジェクトクラス

domain

ドメイン

ssoSite

SSO サイト情報

 

属性

日本語名

説明

登録例

dc

ドメインコンポーネント

サイト名を設定します。
(注)

www

ssoPortNumber

SSOポート番号

ポート番号を設定します。

443

注)指定した値は、大文字・小文字の区別をしません。

パス定義

 アクセス制御の対象とするパスを定義します。

オブジェクトクラス

説明

top

基本LDAPオブジェクトクラス

ssoResource

SSOパス情報

 

属性

日本語名

説明

登録例

cn

名前

パスを設定します。本属性を複数指定しないでください。

(注1)(注4)

/admin/

ssoRoleName

SSOロール名

リソースを利用することができるロール名またはロールセット名を設定します。本属性を複数設定することも可能です。
複数設定した場合は、ロール名のいずれかが利用者のロールと一致していることで保護リソースへのアクセスを許可します。

(注2)(注4)

AdminSet

ssoUserAttribute

SSOユーザ属性

CGIなどのWebアプリケーションに通知するユーザ情報に設定されている属性名を設定します。
詳細は、“環境変数による通知情報の設定”を参照してください。

本属性を複数設定することも可能です。

(注3)(注4)

mail

注1)「cn」には、英数字、記号以外を設定しないでください。
注2)「ssoRoleName」には、“,”(カンマ)を含むロール名を設定しないでください。
注3)「ssoUserAttribute」に設定するユーザ属性には、値として英数字、記号のみが設定されている属性を使用してください。
注4) 指定した値は、大文字・小文字の区別をしません。

認証サーバの定義ファイルへの設定

 認証サーバの定義ファイルに以下の定義項目を設定することで、保護リソース以外からの不正な認証要求を抑止することができます。
 セキュリティ上、不正な認証要求を抑止するように本定義項目を設定することを推奨します。

 “protection-resource-url”には、業務サーバ管理者から入手した業務サーバのURLを設定してください。
 なお、定義ファイルを編集した場合は、認証サーバのInterstage HTTP Serverを再起動してください

Interstage Security DirectorのInterstage シングル・サインオン連携機能を使用する場合

 Interstage Security Directorが提供するInterstage シングル・サインオン連携機能を使用する場合、認証サーバの定義項目“protection-resource-url”には、以下のURL形式で設定してください。
<URL形式>
 [プロトコルスキーム][ホスト名][:ポート番号][パス]
[プロトコルスキーム]:
 Interstage Security Directorのクライアント間の通信方法に合わせて、以下のように設定します。
  ・Interstage Security Directorとクライアント間がHTTP通信の場合
   “http://”を設定します。
  ・Interstage Security Directorとクライアント間がSSL通信の場合
   “https://”を設定します。
[ホスト名]:
 認証サーバへ送信するPROXYサーバの自サーバ名を設定します。
 Interstage Security Directorの以下に指定したサーバ名を設定してください。
  ・Interstage シングル・サインオン認証サーバ設定の“PROXYの自サーバ名”
[:ポート番号]:
 PROXYサーバがクライアントからの要求を受け付けるポート番号を設定します。
 Interstage Security Directorの以下に指定したポート番号を設定してください。
  ・PROXYサーバ環境設定の基本設定の“ポート番号”
[パス]:
 “/”を設定してください。

 Interstage Security Directorの設定については、Interstage Security Directorのマニュアルの、“HTTPアプリケーションゲートウェイ機能説明書(統合環境設定編)”-“Interstage シングル・サインオン連携機能”を参照してください。


目次 索引 前ページ次ページ

All Rights Reserved, Copyright(C) 富士通株式会社 2005