TeamWARE Office 200X V2.0 管理者ガイド |
目次 索引 |
第14章 Webサービスの管理 | > 14.12 Interstage Application Serverを利用したシングルサインオン |
Interstage SSOに参加するためには、以下の作業が必要です。
(1) SSO管理者とユーザアカウントのマッピング方法を合意する。
(2) SSO管理者からサービスIDファイルを入手する。
(3) 初期化ファイル(http.ini)を編集する。
Interstage SSOは、クッキーを使ってサーバ間でユーザの認証情報を受け渡すことにより、シングルサインオンを実現します。
TeamWARE Office は、クッキーで渡される認証情報に含まれる情報を使ってTeamWARE Officeのユーザアカウントのログイン名を構成することで、TeamWARE Officeのユーザアカウントを特定します。認証情報内のどの情報を使ってTeamWARE Officeのログイン名を構成するのかについて、事前にSSO管理者と合意してください。認証情報内の情報を使って、TeamWARE Officeのログイン名を構成する規則の設定については、“14.12.2 ユーザアカウントのマッピングルールの設定”を参照してください。
クッキーに含まれる認証情報は“サービスID”と呼ばれる鍵を使って暗号化されています。サービスIDは、Interstage Application Serverの業務サーバで提供するサービスごとに、SSO管理者によって決められます。
サービスIDやブラウザがクッキーを送信するドメインを格納したファイルを“サービスIDファイル”と呼びます。Interstage SSOに参加するためには、SSO管理者から、TeamWARE Office用のサービスIDファイル(“ドメインの単位で共通のサービスIDファイル”)を入手し、TeamWARE Officeサーバにコピーしてください。
サービスIDファイルに格納されている情報は、セキュリティ上、非常に重要ですので、サービスIDファイルは厳重に管理してください。サービスIDファイルをコピーしたファイルシステム上でファイルのアクセス許可を設定できる場合には、システム管理者は参照だけ行うことができ、特権利用者(UNIX系システムの場合にはroot, Windows(R)の場合はAdministrator)を除く他のユーザはアクセスできないアクセス許可を、サービスIDファイルに設定してください。
初期化ファイルの以下のセクションで、Interstage SSOの設定を行います。
[SSO] |
シングルサインオンを行うかどうかを指定します。標準値は“0”です。
0:シングルサインオンを行いません。
1: シングルサインオンを行います。
連携しているInterstage Application Serverの認証サーバのURLを、SSO管理者に確認し、指定します。
TeamWARE Officeのディレクトリサーバ上にコピーしたサービスIDファイルの絶対パス名を指定します。
TeamWARE Officeのユーザアカウントを特定するための、TeamWARE Office側の属性を指定します。LOGON_NAMEだけが指定できます。LOGON_NAMEは、ログイン名でユーザアカウントを特定することを意味します。本キーは省略することができます。
[SSOMapKey]のキー値で指定された属性を、Interstage Application Serverでのユーザアカウントの属性を使って、どのように組み立てるかを指定します。標準値は、“%uid”です。詳細は、“14.12.2 ユーザアカウントのマッピングルールの設定”を参照してください。
認証を受けた時のクライアントのIPアドレスと、その認証情報を使った現在の要求元のIPアドレスが一致していることを検査するかどうかを指定します。“1”を指定した場合は、IPアドレスの一致が要求ごとに検査されます。“0”を指定した場合には検査されません。標準値は“1”です。
プロキシ経由のアクセスなどで、認証時の要求元IPアドレスと、要求時の IPアドレスが異なる可能性がある場合は、“0”を指定してください。
[Security] |
認証に使用するクッキーの名前を指定します。本キーを指定する場合は、必ず、“fj-is-sso-credential”を指定してください。省略した場合は、CookieNameキーの値として“fj-is-sso-credential”が使用されます。
認証にクッキーの値を使用するかどうかを指定します。必ず“1”を指定してください。
CookiePathキーについては、“14.3.7 [Security]セクション”を参照してください。
CookieDomainキーは無視されます。ブラウザがクッキーを送信するドメインとして、サービスIDファイルで定義されたドメインが使用されます。
[HTTPHeader] |
Webサービスが扱うことができるURLの長さをバイトで指定します。Interstage SSOをご利用の場合には、4096を指定してください。本キーについての詳細は、“14.3 初期化ファイル(http.ini)の変更”を参照してください。
目次 索引 |