キャッシュ機能説明書 (統合環境設定編)

目次 索引

2.22 Interstage シングル・サインオン連携機能

• Interstage シングル・サインオン認証サーバによる認証制御
  Interstage シングル・サインオン認証サーバで認証を行うことにより、証明書のマッピング方法やディレクトリサーバの設定、ユーザ単位での認証方式や有効時間など認証サーバおよびリポジトリサーバのポリシーに統一することができます。
  
• Interstage シングル・サインオンユーザ名による認可制御
  Interstage シングル・サインオン認証サーバで認証したユーザ名をもとに、InfoProxyで認可制御が可能です。
  
• Interstage シングル・サインオンロール名による認可制御
  Interstage シングル・サインオン認証サーバで認証したユーザ名をもとに指定されているロール名を使用して、InfoProxyで認可制御が可能です。
  

• PROXY運用時でもInterstage シングル・サインオン認証サーバと連携は可能ですが、シングル・サインオンを実施する場合は、InfoProxyをリバース運用にする必要があります。
  
• Interstage シングル・サインオン連携の結果をキャッシュした場合、キャッシュしている情報を設定した時間使用します。そのため、SSOリポジトリのユーザ情報を変更した場合、その情報を反映させるためにはInfoProxyを再起動する必要があります。
  
• クライアントから送られてきたパスワードとキャッシュしているパスワードが異なると設定した時間内であっても、Interstage シングル・サインオン認証サーバに確認を行います。そのため、ユーザのパスワード変更を行った場合には、InfoProxyの再起動の必要はありません。
  
• SSOリポジトリでは、ユーザ名の大文字と小文字は区別されません。そのため、Interstage シングル・サインオン連携を行う場合、InfoProxy内部ではユーザ名はすべて小文字に変換して処理を行います。ただし、アクセスログの出力はクライアントや認証サーバから通知された形式で出力します。
  
• Interstage シングル・サインオン連携の結果をキャッシュする場合、１ユーザ名に対してパスワードは一つだけキャッシュされます。そのため、パスワードを複数登録し、複数の人が同一のユーザ名で異なるパスワードを使用して同時にアクセスした場合、毎回Interstage シングル・サインオン認証サーバへのアクセスが発生し、キャッシュが有効に機能しない可能性があります。
  

• InfoProxyがInterstage シングル・サインオン認証サーバに証明書ヘッダを送信する場合には、Interstage シングル・サインオン認証サーバに接続を行う前に、クライアントに対して証明書要求を行います。そのため、ユーザを特定する方式(ユーザ名/パスワードまたは証明書情報)までは統一することはできません。

図2.26　Interstage シングル・サインオン認証サーバ連携の概要

1. InfoProxyはクライアントから通知された認証情報(ユーザ名/パスワード/証明書)を、HTTP/HTTPSプロトコルを使用して、Interstage シングル・サインオン認証サーバに通知します。
   
2. 認証成功時にInterstage シングル・サインオン認証サーバから通知されるクレデンシャル情報を使用して、InfoProxyは認可処理を行います。
   
3. Interstage シングル・サインオン認証サーバから通知された認証情報をInfoProxyでキャッシュすることができます。2回目以降のInterstage シングル・サインオン認証サーバへの問合せ処理をキャッシュした情報から判断することで、クライアントへの応答速度を向上できます。
   

目次 索引