| Interstage Application Server シングル・サインオン運用ガイド |
|
目次
索引
|
| 第2章 機能 | > 2.2 認可方式 |
複数のロールを1つにまとめて定義することもできます。これを“ロールセット”といいます。
例えば、富士通太郎に、"Role-A"というロールが割り当てられていますが、"Role-A"はロールセットであるため、実際には"Role-B"と"Role-C"が割り当てられています。
"Role-B"というロールに対してアクセスを許可しているリソースは"www.fujitsu.com/path"であり、"Role-C"というロールに対してアクセスを許可しているリソースは"www.fujitsu.com/path2"です。富士通太郎がアクセスできるリソースは"www.fujitsu.com/path"と"www.fujitsu.com/path2"になります。
この例をSSOリポジトリに定義すると下図のようになります。
利用者に割り当てられるロールや、利用者ごとに設定する認証方式を設定します。
富士通太郎のユーザ情報には、ロール名は"Role-A"、認証方式は“証明書認証”を設定しています。
利用者の認可に必要なロール定義と保護リソースを定義します。
利用者の認可の対象となるリソースを定義します。保護リソース定義は、サイト定義とパス定義を含んでいます。
上記の図では、"www.fujitsu.com/path/"となります。
保護リソース定義のサイト名を定義します。
上記の図では、"www"となります。
保護リソース定義のパス情報と認可するロール名を定義します。
ロール名を複数設定した場合は、ロール名のいずれかが利用者のロールと一致していることで保護リソースへのアクセスを許可します。
上記の図では、2種類のパス定義があります。
パス情報に"/path/"、ロール名に"Role-B"を定義しています。
パス情報に"/path2/"、ロール名に"Role-C"を定義しています。
ロール名とロール情報またはロールセット情報を定義します。
ロール名は"Role-A"、ロール情報は"ssoRoleSet"を定義しています。ロールセットを定義した場合には、ロールセットに含まれるロール名と、ロール情報を定義します。
"Role-B"の定義は、ロール名に"Role-B"、ロール情報に"ssoRole"を定義しています。
"Role-C"の定義は、ロール名に"Role-C"、ロール情報に"ssoRole"を定義しています。
|
目次
索引
|