項目

定義名

設定内容

省略可否

認証オプション

certificate-identification

証明書認証時に、利用者から提示された証明書とSSOリポジトリのユーザ情報に設定されている証明書を比較するかを設定します。

　YES：比較します。
　NO ：比較しません。

省略した場合または上記以外を設定した場合は"NO"と見なします。

"NO"を設定した場合は、証明書中の所有者名の情報をもとにしてSSOリポジトリからユーザエントリを1件だけに特定できる場合に、認証を成功とします。
"YES"を設定した場合は、さらに、利用者から提示された証明書とSSOリポジトリ中の証明書が一致する場合のみ認証を成功とします。

省略可

ロックアウト

watch-lockout

利用者がロックアウトとなったことをシステムのログに登録するかを設定します。また、"lock-out-time"にて利用者のロックアウトを自動的に解除すると設定した場合は、ロックアウト解除時もシステムのログに登録します。

　YES：登録します。
　NO ：登録しません。

省略した場合または上記以外を設定した場合は"YES"と見なします。

省略可

SSOリポジトリ

repository-time-out

SSOリポジトリからの応答をタイムアウト監視する時間を［秒単位］で設定します。

　0：タイムアウトしません。
　1〜300：設定した時間までにSSOリポジトリから応答がない場合は、タイムアウトとなります。

省略した場合または上記以外を設定した場合は"0"と見なします。

省略可

alternative-role-attribute

SSOリポジトリのユーザ情報に設定するSSOロール名として、"ssoUser"オブジェクトクラスの"ssoRoleName"属性以外の属性に設定されている値を使用する場合に、その属性名を設定します。
省略した場合は、"ssoUser"オブジェクトクラスの"ssoRoleName"属性に設定されている値をロールとして使用します。

SSOリポジトリで利用者の認可を行うロール名(ssoRoleName)の代わりに、使用する属性名を“役職”とした場合の設定例は、以下のようになります。
例："title"

当定義に誤った属性名を設定した場合には、業務サーバの保護リソースに一切アクセスできなくなりますので、十分に注意して設定してください。
また、業務サーバ管理者やユーザから保護リソースにアクセスできない旨の連絡を受けた場合には、当定義の設定値とSSOリポジトリの設定が一致しているか 確認してください。

省略可

alternative-uid-attribute

基本認証で利用者が入力したユーザIDからSSOリポジトリ中の利用者を特定するための属性名を設定します。
省略した場合は、"uid"と見なします。

SSOリポジトリで利用者の検索に使用する属性名を“従業員番号”とした場合の設定例は、以下のようになります。
例："employeeNumber"

利用者を一意に特定可能、かつ属性値が英数字のみで登録されている属性名を設定してください。

当定義に誤った属性名を設定した場合には、基本認証で認証されなくなりますので、十分に注意して設定してください。
また、業務サーバ管理者やユーザから認証されない旨の連絡を受けた場合には、当定義の設定値とSSOリポジトリの設定が一致しているか確認してください。

※基本認証の場合のみ有効となります。

省略可

alternative-certificate-attribute

SSOリポジトリから証明書（userCertificate）を獲得する属性名を設定します。属性名は複数設定できます。複数設定する場合には、カンマ","で区切って設定します。
省略した場合は"userCertificate;binary"と見なします。
SSOリポジトリのユーザ属性に登録している証明書が“S/MIME証明書”でバイナリ形式である場合の設定例は、以下のようになります。
例："userSMIMECertificate;binary"

当定義に誤った属性名を設定した場合には、証明書認証で認証されなくなりますので、十分に注意して設定してください。
また、業務サーバ管理者やユーザから認証されない旨の連絡を受けた場合には、当定義の設定値とSSOリポジトリの設定が一致しているか確認してください。

※証明書認証かつcertificate-identificationにYESを設定した場合のみ有効となります。

省略可

認証情報

credential-additional-attribute

SSOリポジトリのユーザ情報に格納されている属性をWebアプリケーションに通知する場合、その属性名を設定します。
利用者の認証に成功したとき、設定した属性が認証情報に追加され、各業務サーバで運用されているWebアプリケーションに通知することができます。
属性名は複数設定できます。複数設定する場合には、カンマ","で区切って設定します。
（例：従業員番号（employeeNumber）を設定した場合、業務サーバのWebアプリケーションはアクセスした利用者の従業員番号を獲得することが可能となります。）

詳細は、“環境変数による通知情報の設定”と“利用者情報の取得”を参照してください。
※値が一つだけ設定されている属性を設定してください。

省略可

アクセスログ

accesslog-filename

アクセスログの出力先ファイル名を絶対パスで設定します。
※省略した場合、アクセスログは出力されません。

省略可

accesslog-filesize

アクセスログのファイルサイズの上限を［KB単位］を設定します。

　1〜2000000：アクセスログのファイルサイズ

省略した場合、または上記以外を設定した場合は「1024KB」と見なします。

※accesslog-filenameが設定されている場合にのみ有効となります。

省略可

accesslog-save-all-log

アクセスログのファイルサイズが上限に達した場合のファイルの保存方法を設定します。

YES：毎回別ファイルとして保存します。
NO：“アクセスログファイル名．last”という名前で保存します。

省略した場合、または上記以外を設定した場合は"NO"と見なします。

"YES"の場合は“アクセスログファイル名．YYYYMMDDHHMMSS” （保存年月日時分秒の文字列）という名前で保存します。
"NO"の場合は“アクセスログファイル名．last”という名前で保存します。
ファイルはアクセスログと同じディレクトリに保存します。

※accesslog-filenameが設定されている場合にのみ有効となります。

省略可

serviceidpath=C:\Interstage\F3FMsso\ssoatcsv\conf\serviceid
repository-bind-dn=cn=ssoadmin
repository-user-search-base=ou=SSO User,o=Fujitsu Limited,c=jp
repository-role-search-base=ou=Role,ou=SSO ACI,o=Fujitsu Limited,c=jp
repository-resource-search-base=ou=Resource,ou=SSO ACI,o=Fujitsu Limited,c=jp
accesslog-filename=C:\Interstage\F3FMsso\ssoatcsv\log\ssoatcsv.log

serviceidpath=/etc/opt/FJSVssosv/conf/serviceid
repository-bind-dn=cn=ssoadmin
repository-user-search-base=ou=SSO User,o=Fujitsu Limited,c=jp
repository-role-search-base=ou=Role,ou=SSO ACI,o=Fujitsu Limited,c=jp
repository-resource-search-base=ou=Resource,ou=SSO ACI,o=Fujitsu Limited,c=jp
accesslog-filename=/var/opt/FJSVssosv/log/ssoatcsv.log