| Interstage Application Server シングル・サインオン運用ガイド |
|
目次
索引
|
| 第3章 環境構築 | > 3.2 リポジトリサーバの環境構築 |
Interstage シングル・サインオンの認証および認可に必要となるアクセス制御情報やユーザ情報をSSOリポジトリに登録します。アクセス制御情報には、Interstage シングル・サインオンで保護するリソースとロールを定義し、ユーザ情報には、利用者のユーザIDやパスワード、認証方式などの情報を定義します。
SSOリポジトリの構築の流れを以下に示します。
Interstage シングル・サインオンのSSOリポジトリは、InfoDirectoryを使用します。SSOリポジトリの構築には、ディレクトリスキーマの設計に関する知識とInfoDirectory管理ツールの操作知識が必要ですので、事前に“InfoDirectory使用手引書”を参照することを推奨します。
以下にInterstage シングル・サインオンのSSOリポジトリの例を示します。
SSOリポジトリの例
利用者の認可に必要なロール定義と保護リソースを定義します。
ロールやロールセットのロール名とロール情報またはロールセット情報を定義します。
上記の図では、ロールとしてロール名に"Admin"を、ロール情報に"ssoRole"を定義しています。ロール"Admin"を含むロールセットとしてロール名に"AdminSet"を、ロールセット情報に"ssoRoleSet"を定義し、ロールセット"AdminSet"とロール"Leader"を含むロールセットとしてロール名に"LeaderSet"を、ロールセット情報に"ssoRoleSet"を定義しています。(上記の図では、ロール"Leader"の定義は明記されていませんが、ロール"Admin"と同様にロール名に"Leader"を、ロール情報に"ssoRole"を定義しているものとしています。)
利用者の認可の対象となるリソースを定義します。保護リソースは、サイト定義とパス定義を含んでいます。
上記の図では、認可の対象となるリソースを"www.fujitsu.com:80/admin/"や"www.fujitsu.com:80/leader/"とした場合です。
保護リソース定義のサイト名を定義します。
上記の図では、"www+ssoPortNumber=80"となります。
保護リソース定義のパス情報と認可するロール名を定義します。
ロール名を複数設定した場合は、ロール名のいずれかが利用者のロールと一致していることで保護リソースへのアクセスを許可します。
上記の図では、パス情報"/admin/"が認可するロールは"AdminSet"と定義し、パス情報"/leader/"が認可するロールは"LeaderSet"と定義しています。
利用者に割り当てられるロールや、利用者ごとに設定する認証方式を設定します。
上記の図では、富士通太郎のユーザ情報に所有するロールとして"Admin"を、認証方式として“基本認証または証明書認証”を設定しています。
3.2.1.1 構築準備3.2.1.2 ユーザ情報の作成3.2.1.3 アクセス制御情報の作成3.2.1.4 LDIFファイルを使用したSSOリポジトリの作成例|
目次
索引
|