11.1.9 サービスのログオンの設定

Interstage Portalworks 管理者ガイド

目次索引

第11章 Portalworksの運用保守

> 11.1 動作環境の設定

11.1.9 サービスのログオンの設定

Portalworksには、サービスへのログオンを簡略化する機能として、以下の機能があります。

代理ログオン機能
Interstage シングル・サインオン連携機能
簡易SSO機能

代理ログオン機能の設定の詳細については、“Portalworks利用者ガイド”を参照してください。
Interstageシングル・サインオン連携機能の設定は、“11.1.7 Interstageシングル・サインオン認証サーバの設定”を参照してください。

■代理ログオン機能についての留意事項

1) ベーシック認証を継承した追い出し機能を利用する場合

ベーシック認証を継承した追い出し機能を利用する場合、ActiveXコントロールを利用します。

ActiveXコントロールは、Microsoft CorporationのセキュリティパッチMS04-004で利用が行えなくなった“user:pass@”付きのURLの動作を、“user:pass@”付きのURLを利用せずに実現する処理が行われます。

ActiveXコントロールを利用することで、以下の脅威があげられます。

URL詐称によるフィッシングの問題
ユーザの入力を迂回する問題（悪用されて）

これらの脅威に対し、以下の対処を行っています。

ブラウザに表示されるURLと表示されるコンテンツのURLを同じものとしています。
ActiveXコントロールは、呼出元サイトを確認する仕組みを実装しており、呼出元サイトを信頼することにより回避できます。

「ベーシック認証を継承した除外URLリスト」に設定したサイトに最初にアクセスするときに、ActiveXコントロールがインストールされます。

ActiveXコントロールの実行時の注意事項については、“B.8 ActiveXコントロール実行時の注意事項”を参照してください。

2) 代理ログオン機能を利用してフォーム認証を行った場合

代理ログオン機能を利用してフォーム認証を行った場合、フォーム認証ページでないページ（例えば、パスワード変更をするためのページ）がフォーム認証ページとみなされてしまうことがあります。このような場合は、WebUSP運用管理の拡張機能を利用し、該当するページのフォーム認証を無効に設定してください。または、利用者の［フォーム認証情報設定確認］画面で「保存する」ラジオボタンを選択し、かつ、「このページは代理ログオンの対象にしない。」チェックボックスをチェックしてください。それ以降、このページはフォーム認証画面とはみなされなくなります。

WebUSP運用管理の拡張機能については、“3.3.1 WebUSP運用情報の設定”を参照してください。
［フォーム認証情報設定確認］画面の詳細については、“Portalworks利用者ガイド”を参照してください。

■簡易SSO機能についての留意事項

簡易SSO機能とは、Portalworksとサービスが同一のLDAP認証サーバ（Interstageディレクトリサービス、Active Directory）を使用しており、サービスが基本認証で個人認証を行っている場合に、Portalworksからサービスに認証情報を送信することにより、サービスとのシングル・サインオンを実現する機能です。
代理ログオン機能との機能差を、以下に示します。

	代理ログオン機能	簡易SSO機能
認証情報	利用者が設定。	運用管理者が設定。
認証サーバとの関係	Portalworksとサービスの認証サーバは別々でもよい。	Portalworksとサービスの認証サーバは同一、かつLDAP認証サーバである。
サービスの設定	Portalworksが自動で判定。	運用管理者が設定。
認証方式	ベーシック認証、フォーム認証、proxy認証をサポート。	ベーシック認証のみサポート。

簡易SSO機能を継承した追い出し機能を利用する場合は、ベーシック認証を継承した追い出しと同じように、ActiveXコントロールを利用します。

■簡易SSO機能の設定方法

簡易SSO機能の設定は、以下の操作で行います。

操作

運用管理コンソールを起動し、［システム全般 - 簡易SSO設定］をクリックします。運用管理コンソールの起動方法については、“1.4.3 運用管理機能（運用管理コンソール）の起動”を参照してください。
⇒［簡易SSO設定］画面が表示されます。
必要な指定を行い、［設定］ボタンをクリックします。
- ［簡易SSOの設定］
  簡易SSO機能を「使用する」か「使用しない」かのどちらかを選択します。システム標準では、「使用しない」に設定されています。
- ［シナリオへの通知］
  簡易SSO機能をシナリオに「通知する」か「通知しない」かのどちらかを選択します。システム標準では、「通知しない」に設定されています。
- ［対象のURL］
  簡易SSO機能の対象とするアドレスを、以下の形式で指定します。
  サーバ指定の場合：「サーバ名」または「IPアドレス」
  ドメイン指定の場合：「*.ドメイン名」
  複数指定する場合、アドレスをセミコロン（;）で区切って指定します。
  例：http://www.fujitsu.*;http://foo.fujitsu.com
  ［対象のURL］の指定方法の詳細は、“3.3.1 WebUSP運用情報の設定”の“［URLの指定方法］”を参照してください。

Portalworksにログオン中に、認証サーバでその利用者のパスワードが変更された場合は、Portalworksをいったんログオフして、再度ログオンする必要があります。

対象のURLとしてファイル名まで記述した場合（http://aaa.bbb.com/index.htmlなど）は、URL内のファイル名まで一致したときだけ、簡易SSO機能が有効になります。
そのため、ログオン時にURLが遷移するサービスについては、以下のいずれかの方法で指定してください。

ファイル名として、ワイルドカード（*）を指定する。
ファイル名を含むすべてのURLを指定する。

例えば、“http://aaa.bbb.com/index.html”から“http://aaa.bbb.com/index2.html”に遷移する場合は、以下のようになります。

設定例1：対象のURLとして、“http://aaa.bbb.com/*”を指定します。
設定例2：対象のURLとして、“http://aaa.bbb.com/index.html;http://aaa.bbb.com/index2.html”を指定します。

目次索引