3.2.1.3 アクセス制御情報の作成

Interstage Application Server シングル・サインオン運用ガイド

目次索引

第3章環境構築

> 3.2 リポジトリサーバの環境構築

> 3.2.1 SSOリポジトリの構築

3.2.1.3 アクセス制御情報の作成

　Interstage シングル・サインオンで保護するリソースやサイトやパス、ロール定義を作成します。

SSOリポジトリ構築時

　リポジトリサーバの環境構築時では、以下を作成します。

SSOリポジトリのTOPエントリである国名や組織名などのエントリ（例."c=jp"や"o=Fujitsu Limited"）
アクセス制御情報のエントリ（例. "ou=SSO ACI"）(注)
ロール定義の最上位のエントリ（例. "ou=Role"）(注)
ロールのエントリ（例. "cn=Admin"や"cn=AdminSet"など）
保護リソースの最上位のエントリ（例. "ou=Resource"）(注)

　Interstage シングル・サインオンが提供するLDIFファイルをInfoDirectoryの管理ツールで読み込むことで簡単に作成できます。実際の運用環境に合わせて、SSOリポジトリのTOPエントリである国名や組織名TOPエントリや組織名、ロールのエントリ名を変更するだけで使用できます。
　LDIFファイルの読み込みやエントリ名の変更方法については、“LDIFファイルを使用したSSOリポジトリの作成例”で説明します。

注)提供するLDIFファイルのアクセス制御情報のエントリ名やロール定義の最上位のエントリ名、保護リソースの最上位のエントリ名については、変更する必要はありません。

ロール定義

　ロールを定義します。

オブジェクトクラス	説明
top	基本LDAPオブジェクトクラス
ssoRole	SSOロール情報

属性

日本語名

説明

登録例

名前

ロール名を設定します。
本属性を複数指定しないでください。また、指定した値は大文字・小文字は区別されません。

(注)

Admin

注)‘,’（カンマ）を含むロール名は設定しないでください。

　ロール定義には、複数のロールを１つで表すロールセットも定義できます。

オブジェクトクラス	説明
top	基本LDAPオブジェクトクラス
ssoRoleSet	SSOロールセット情報

属性	日本語名	説明	登録例
cn	名前	ロールセット名を設定します。本属性を複数指定しないでください。また、指定した値は大文字・小文字は区別されません。	AdminSet
ssoRoleName	SSOロール名	ロールセットに含めるロール名を設定します。ロールセットに含めるロールとしてロールセット名も設定できます。指定した値は大文字・小文字は区別されません。 (注1)(注2)	Admin

注1)重複するロールやロールセットは無効です。また、存在しないロールやロールセットは無効と見なします。
注2)定義がループしてしまうロールセットを設定した場合は、ループとなる部分は無効となります。

　以下に、定義がループとなり無効と見なすロールセットの設定を示します。

　ロールセット"LeaderSet"は、ロール"Leader"とロールセット"AdminSet"を1つで表しますが、ロールセット"AdminSet"はロール"Admin"とロールセット"LeaderSet"を1つで表そうとするため、ロールセット"AdminSet"に設定したロールセット"LeaderSet"がループとなります。この場合、ロールセット"AdminSet"が表していたロールセット"LeaderSet"は無効となり、最終的に、ロールセット"LeaderSet"は、ロール"Leader"とロール"Admin"を1つで表したロールセットと見なします。

業務サーバ構築時

　以下は、業務サーバの構築時に業務サーバ管理者より保護対象リソースの作成依頼を受けてから作成します。（以下は、"http://www.fujitsu.com:80/admin/"や"http://www.fujitsu.com:80/leader/"の保護対象リソースの作成依頼を受けた場合の例を示します。）

保護リソースのエントリ（ドメインのエントリ）
（例.業務サーバのドメインが".fujitsu.com"の場合の"dc=com"や"dc=fujitsu"）
サイト定義のエントリ（例.業務サーバのサイトが"www"の場合の"dc=www+ssoPortNumber=80"）
パス定義のエントリ（例.業務サーバの保護対象とするリソースが"/admin/"や"/leader/"の場合の"cn=/admin/"や"cn=/leader/"など）

　提供するLDIFファイルには、保護対象リソースの例も含みますので、同様にエントリ名や属性を変更するだけで使用できます。変更方法については、“LDIFファイルを使用したSSOリポジトリの作成例”で説明します。

　以下に、環境に合わせて変更できるエントリの属性について示します。

保護リソース

　アクセス制御の対象とするドメインを定義します。

オブジェクトクラス	説明
top	基本LDAPオブジェクトクラス
domain	ドメイン情報

属性名	日本語名	説明	登録例
dc	ドメインコンポーネント	ドメインコンポーネント名を設定します。 (注)	comやfujitsu

注)指定した値は、大文字・小文字の区別をしません。

サイト定義

　アクセス制御の対象とするサイトを定義します。

オブジェクトクラス	説明
top	基本LDAPオブジェクトクラス
domain	ドメイン
ssoSite	SSO　サイト情報

属性	日本語名	説明	登録例
dc	ドメインコンポーネント	サイト名を設定します。 (注)	www
ssoPortNumber	SSOポート番号	ポート番号を設定します。	80

注)指定した値は、大文字・小文字の区別をしません。

パス定義

　アクセス制御の対象とするパスを定義します。

オブジェクトクラス	説明
top	基本LDAPオブジェクトクラス
ssoResource	SSOパス情報

属性	日本語名	説明	登録例
cn	名前	パスを設定します。本属性を複数指定しないでください。 (注1)(注4)	/admin/
ssoRoleName	SSOロール名	リソースを利用することができるロール名またはロールセット名を設定します。本属性を複数設定することも可能です。複数設定した場合は、ロール名のいずれかが利用者のロールと一致していることで保護リソースへのアクセスを許可します。 (注2)(注4)	AdminSet
ssoUserAttribute	SSOユーザ属性	CGIなどのWebアプリケーションに通知するユーザ情報に設定されている属性名を設定します。詳細は、“環境変数による通知情報の設定”を参照してください。本属性を複数設定することも可能です。 (注3)(注4)	mail

注1)「cn」には、英数字、記号以外を設定しないでください。
注2)「ssoRoleName」には、","（カンマ）を含むロール名を設定しないでください。
注3)「ssoUserAttribute」に設定するユーザ属性には、値として英数字、記号のみが設定されている属性を使用してください。
注4) 指定した値は、大文字・小文字の区別をしません。

アクセス制御の対象とするパスがディレクトリの場合には、必ず最後に"/"を付けてください。

　/admin/，/leader/mydir/
アクセス制御の対象とするパスがファイルなどの場合は、最後に"/"を付けないようにしてください。

　/admin/example.html，/leader/mydir/example.asp
URLにファイル名が指定されていない場合、index.htmlなどデフォルトのファイルを返すようにWWWサーバを設定することができます。このようなデフォルトのファイルをアクセス制御の対象にする場合、パス定義には、必ずそのファイルを含むディレクトリを設定してください。
保護リソース情報の追加／変更／削除を行った場合は、アクセス制御情報ファイルの設定を行う必要があります。アクセス制御情報ファイルについては、“業務サーバの環境構築”の“アクセス制御情報ファイルの設定”を参照してください。

長いファイル名から自動的に生成される8.3形式ファイル名を、パス定義に指定することはできません。長いファイル名で指定してください。フォルダ名も同様です。
シングル・サインオンでは、以下の形式のフォルダ名／ファイル名などを含むパスには対応していません。このようなパスにならないようにコンテンツを作成／配置してください。
　・8.3形式で、拡張子を除くファイル名が ~n ("n"は一桁の数字) で終わるもの
　　（例："exampl~1", "abc~2.htm" など）
このようなパスをブラウザで指定した場合、アクセス制御情報の内容によらずエラー画面が表示されます。
"."で終わるフォルダ名／ファイル名などを含むパスをパス定義に指定することはできません。

目次索引