Interstage Application Server シングル・サインオン運用ガイド |
目次
索引
![]() ![]() |
第3章 環境構築 | > 3.2 リポジトリサーバの環境構築 | > 3.2.1 SSOリポジトリの構築 |
Interstage シングル・サインオンで保護するリソースやサイトやパス、ロール定義を作成します。
リポジトリサーバの環境構築時では、以下を作成します。
Interstage シングル・サインオンが提供するLDIFファイルをInfoDirectoryの管理ツールで読み込むことで簡単に作成できます。実際の運用環境に合わせて、SSOリポジトリのTOPエントリである国名や組織名TOPエントリや組織名、ロールのエントリ名を変更するだけで使用できます。
LDIFファイルの読み込みやエントリ名の変更方法については、“LDIFファイルを使用したSSOリポジトリの作成例”で説明します。
注)提供するLDIFファイルのアクセス制御情報のエントリ名やロール定義の最上位のエントリ名、保護リソースの最上位のエントリ名については、変更する必要はありません。
ロールを定義します。
オブジェクトクラス |
説明 |
top |
基本LDAPオブジェクトクラス |
ssoRole |
SSOロール情報 |
属性 |
日本語名 |
説明 |
登録例 |
cn |
名前 |
ロール名を設定します。 (注) |
Admin |
注)‘,’(カンマ)を含むロール名は設定しないでください。
ロール定義には、複数のロールを1つで表すロールセットも定義できます。
オブジェクトクラス |
説明 |
top |
基本LDAPオブジェクトクラス |
ssoRoleSet |
SSOロールセット情報 |
属性 |
日本語名 |
説明 |
登録例 |
cn |
名前 |
ロールセット名を設定します。 |
AdminSet |
ssoRoleName |
SSOロール名 |
ロールセットに含めるロール名を設定します。 |
Admin |
注1)重複するロールやロールセットは無効です。また、存在しないロールやロールセットは無効と見なします。
注2)定義がループしてしまうロールセットを設定した場合は、ループとなる部分は無効となります。
以下に、定義がループとなり無効と見なすロールセットの設定を示します。
ロールセット"LeaderSet"は、ロール"Leader"とロールセット"AdminSet"を1つで表しますが、ロールセット"AdminSet"はロール"Admin"とロールセット"LeaderSet"を1つで表そうとするため、ロールセット"AdminSet"に設定したロールセット"LeaderSet"がループとなります。この場合、ロールセット"AdminSet"が表していたロールセット"LeaderSet"は無効となり、最終的に、ロールセット"LeaderSet"は、ロール"Leader"とロール"Admin"を1つで表したロールセットと見なします。
以下は、業務サーバの構築時に業務サーバ管理者より保護対象リソースの作成依頼を受けてから作成します。(以下は、"http://www.fujitsu.com:80/admin/"や"http://www.fujitsu.com:80/leader/"の保護対象リソースの作成依頼を受けた場合の例を示します。)
提供するLDIFファイルには、保護対象リソースの例も含みますので、同様にエントリ名や属性を変更するだけで使用できます。変更方法については、“LDIFファイルを使用したSSOリポジトリの作成例”で説明します。
以下に、環境に合わせて変更できるエントリの属性について示します。
アクセス制御の対象とするドメインを定義します。
オブジェクトクラス |
説明 |
top |
基本LDAPオブジェクトクラス |
domain |
ドメイン情報 |
属性名 |
日本語名 |
説明 |
登録例 |
dc |
ドメインコンポーネント |
ドメインコンポーネント名を設定します。 |
comやfujitsu |
注)指定した値は、大文字・小文字の区別をしません。
アクセス制御の対象とするサイトを定義します。
オブジェクトクラス |
説明 |
top |
基本LDAPオブジェクトクラス |
domain |
ドメイン |
ssoSite |
SSO サイト情報 |
属性 |
日本語名 |
説明 |
登録例 |
dc |
ドメインコンポーネント |
サイト名を設定します。 |
www |
ssoPortNumber |
SSOポート番号 |
ポート番号を設定します。 |
80 |
注)指定した値は、大文字・小文字の区別をしません。
アクセス制御の対象とするパスを定義します。
オブジェクトクラス |
説明 |
top |
基本LDAPオブジェクトクラス |
ssoResource |
SSOパス情報 |
属性 |
日本語名 |
説明 |
登録例 |
cn |
名前 |
パスを設定します。本属性を複数指定しないでください。 (注1)(注4) |
/admin/ |
ssoRoleName |
SSOロール名 |
リソースを利用することができるロール名またはロールセット名を設定します。本属性を複数設定することも可能です。 (注2)(注4) |
AdminSet |
ssoUserAttribute |
SSOユーザ属性 |
CGIなどのWebアプリケーションに通知するユーザ情報に設定されている属性名を設定します。 本属性を複数設定することも可能です。 (注3)(注4) |
|
注1)「cn」には、英数字、記号以外を設定しないでください。
注2)「ssoRoleName」には、","(カンマ)を含むロール名を設定しないでください。
注3)「ssoUserAttribute」に設定するユーザ属性には、値として英数字、記号のみが設定されている属性を使用してください。
注4) 指定した値は、大文字・小文字の区別をしません。
/admin/,/leader/mydir/ |
/admin/example.html,/leader/mydir/example.asp |
目次
索引
![]() ![]() |