2.6.3.3 保護リソースの設定

Interstage Application Server シングル・サインオン運用ガイド

目次索引

2.6.3.3 保護リソースの設定

　SSOリポジトリに登録した業務システムのサイト定義、および保護パスの情報を認証サーバに設定します。
　認証サーバの定義ファイルをテキストエディタなどを用いて編集し、保護リソースの情報を追加します。なお、定義ファイルを編集した場合は、認証サーバを再起動してください。認証サーバの起動、および停止方法については“認証サーバの起動”、および“認証サーバの停止”を参照してください。

認証サーバの定義ファイル名と格納先

定義ファイル名: ssoatcag.conf
定義ファイルの格納先: C:\Interstage\F3FMsso\ssoatcag\conf

/etc/opt/FJSVssoac/conf

[追加する定義項目]

項目

定義名

設定内容

省略可否

保護リソース以外からの認証要求の抑止

reject-incorrect-protection-resource-url

業務システムの保護リソース以外からの認証要求を抑止するかどうかを設定します。

　YES：抑止します。
　NO：抑止しません。

省略した場合は、“NO”が設定されたものとみなします。
また、設定された値が上記以外の場合は、システムのログにsso02040を出力し、“NO”が設定されたものとみなします。

フォーム認証で運用し、利用者が直接認証基盤のURLにアクセスして認証する場合は、認証要求の抑止は行いません。

省略可。

認証要求を受け付ける保護リソースのURL

protection-resource-url

業務システムの保護リソース以外からの認証要求を抑止する場合において、認証要求を受け付ける保護リソースのURLを設定します。
なお、本定義は“reject-incorrect-protection-resource-url”が“YES”の場合のみ有効となります。

保護リソースのURLには、SSOリポジトリに登録されているサイト定義、およびパス定義の情報を、以下のURL形式で設定します。
　<URL形式>
　　[プロトコルスキーム][ホスト名][:ポート番号][パス]
　[プロトコルスキーム]：
　　“https://”、または“http://”を設定してください。
　[ホスト名]：
　　保護リソースのサイト定義で定義されているホスト名をFQDNで設定してください。ホスト名には、“@”、“?”、“&”を含めないでください。
　[:ポート番号]：
　　保護リソースのサイト定義で定義されているポート番号を設定してください。ポート番号は省略することができます。省略した場合は、URLのプロトコルスキームの設定によって、ポート番号は以下のように設定されたものとみなします。
　　・プロトコルスキームが“https://”の場合
　　　ポート番号：“:443”
　　・プロトコルスキームが“http://”の場合
　　　ポート番号：“:80”
　[パス]：
　　保護リソースのパス定義を設定してください。パスは省略できません。以下に注意して設定してください。
　　・“/”から始まるパスを必ず設定してください。
　　・相対パス(“/./”、“/../”)、連続した“/”(“//”)、および“;”を含めないでください。
　　・“/.”、または“/..”で終わる文字列を設定しないでください。

　上記のURL形式については、以下に注意して設定してください。

英数字、または記号のみを使用してください。ただし、以下の記号は使用できません。
　“<”、“>”、“"”、“{”、“}”、“|”、“\”、“^”、“[”、“]”、“`”、“ ”、“%”
漢字などのマルチバイト文字(MBCS)は使用しないでください。
2048バイト以内の文字列を指定してください。
設定するURL形式にはクエリ文字列は含めないでください。

保護リソースのURLの設定例）
　httpsで運用するポート番号443の保護サイト“bus.example.com”の保護パス“/protect/”を指定する場合。
　protection-resource-url=https://bus.example.com:443/protect/

設定された保護リソースのURLの末尾が“/”の場合はディレクトリとして扱い、設定値と認証要求時に提示されたURLが前方一致した場合にのみ、認証要求を受け付ける保護リソースに該当したとみなします。
URLの末尾が“/”以外の場合はファイルとして扱い、設定値と認証要求時に提示されたURLが完全一致した場合にのみ、認証要求を受け付ける保護リソースに該当したとみなします。

保護リソースのURLを複数設定する場合は、1行に1つの保護リソースのURLを設定し、複数の行に繰り返して設定してください。
複数設定した場合は、先頭行から順に、設定値と認証要求時に提示されたURLが一致するか判定します。一致しない場合は、次の行の設定値と判定します。

設定例）
　2つの保護リソースのURLを設定する場合。
　protection-resource-url=https://bus.example.com:443/protect/
　protection-resource-url=https://bus.example.com:443/bussystem/

“reject-incorrect-protection-resource-url”が“YES”の場合に本定義を省略した場合は、認証サーバ起動時にシステムのログにsso02008のエラーメッセージを出力し、認証サーバを停止します。
保護リソースのURLの設定値が正しくない場合は、認証サーバ起動時にシステムのログにsso02007のエラーメッセージを出力し、認証サーバを停止します。

省略可。
ただし、“reject-incorrect-protection-resource-url”が“YES”の場合は必須。

必須項目が設定されていない場合や、指定範囲外の値が設定された場合など、定義ファイルに誤りがある場合は、Interstage HTTP Serverが起動されません。
定義ファイルの設定ミスなどによるエラーメッセージは、システムのログに登録されます。このログはInterstage HTTP Serverの起動時に、重複して登録される場合があります。
複数行での設定が可能な項目以外を複数の行で設定した場合は、ファイルの先頭行からみて最初に出現する行の設定が有効となり、2回目以降に出現する行の設定は無視されます。
定義ファイル内の各項目は、“定義名=設定値”の形式で行の先頭から設定してください。また、“=”の前後には空白を入れずに設定してください。
定義ファイル内の各項目には、余分な空白を入れずに正確に設定してください。
例えば、“定義名=123　”(123の後に空白)や“定義名=　NO”(NOの前に空白)は、正しくありません。このように設定された場合は、省略されたものとみなして動作します。
不正な定義名を設定した場合は、無視されます。
“#”で始まる行は、コメント行とみなします。

　以下に、定義ファイルの設定例を示します。

　保護リソース以外からの認証要求を抑止し、認証要求を受け付ける保護リソースのURLに以下を設定している例です。
　　保護リソースのURL : https://bus.example.com:443/protect/
　　　　　　　　　　　　　　: https://bus.example.com:443/bussystem/

reject-incorrect-protection-resource-url=YES
protection-resource-url=https://bus.example.com:443/protect/
protection-resource-url=https://bus.example.com:443/bussystem/

定義項目“protection-resource-url”の設定値について

　認証サーバの定義項目“protection-resource-url”には、SSOリポジトリに登録したすべての保護リソース情報を正しく設定してください。設定値がSSOリポジトリに登録した保護リソース情報と同等でない場合、保護リソース以外からの認証要求の抑止が正しく行われません。

Interstage Security DirectorのInterstage シングル・サインオン連携機能を使用する場合

　Interstage Security Directorが提供するInterstage シングル・サインオン連携機能を使用する場合、認証サーバの定義項目“protection-resource-url”には、以下のURL形式で設定してください。
<URL形式>
　[プロトコルスキーム][ホスト名][:ポート番号][パス]
[プロトコルスキーム]：
　Interstage Security Directorのクライアント間の通信方法に合わせて、以下のように設定します。
　　・Interstage Security Directorとクライアント間がHTTP通信の場合
　　　“http://”を設定します。
　　・Interstage Security Directorとクライアント間がSSL通信の場合
　　　“https://”を設定します。
[ホスト名]：
　認証サーバへ送信するPROXYサーバの自サーバ名を設定します。
　Interstage Security Directorの以下に指定したサーバ名を設定してください。
　　・Interstage シングル・サインオン認証サーバ設定の“PROXYの自サーバ名”
[:ポート番号]：
　PROXYサーバがクライアントからの要求を受け付けるポート番号を設定します。
　Interstage Security Directorの以下に指定したポート番号を設定してください。
　　・PROXYサーバ環境設定の基本設定の“ポート番号”
[パス]：
　“/”を設定してください。

　Interstage Security Directorの設定については、Interstage Security Directorのマニュアルの、“HTTPアプリケーションゲートウェイ機能説明書(統合環境設定編)”-“Interstage シングル・サインオン連携機能”を参照してください。

保護リソース情報の追加、変更、または削除

　SSOリポジトリ上の保護リソース情報の追加、変更、または削除を行った場合、認証サーバの定義項目“protection-resource-url”を編集し、認証サーバを再起動してください。
　また、実際に保護リソースにアクセスを行い、定義通りに正しく動作しているか確認するよう業務サーバ管理者に依頼してください。

目次索引