|
Interstage Application Server シングル・サインオン運用ガイド
|
目次
索引
 
|
1.6.3 SSLアクセラレータとの連携
Interstage シングル・サインオンでは、“パスワード認証”、“証明書認証”、“パスワード認証かつ証明書認証”の認証方式で、クライアントと認証サーバ間にSSLアクセラレータを設置することにより、クライアント証明書の認証やSSL通信を高速化することができます。
また認証サーバとリポジトリサーバ間にSSLアクセラレータを設置することにより、SSL通信を高速化することも可能です。
クライアントと認証サーバ間にSSLアクセラレータを設置する場合は、認証サーバにSSLアクセラレータと連携するために必要な定義を行ってください。認証サーバとリポジトリサーバ間にSSLアクセラレータを設置する場合は、認証サーバの設定は不要です。
また、Interstageシングル・サインオンの運用でSSLアクセラレータを使用する場合は、SSLアクセラレータに、以下の設定を行ってください。
- クライアント認証
- 認証方式が“証明書認証”、“パスワード認証かつ証明書認証”の場合は、“クライアント認証する”に設定してください。設定方法については、各SSLアクセラレータの“取扱説明書”を参照してください。
認証サーバとリポジトリサーバ間にSSLアクセラレータを設置する場合は、本設定は必要ありません。
- 証明書を通知
- 認証方式が“証明書認証”、“パスワード認証かつ証明書認証”の場合は、認証サーバにクライアントから送信された証明書を通知するHTTPヘッダを設定してください。設定方法については、各SSLアクセラレータの“取扱説明書”を参照してください。
なお、設定したHTTPヘッダは、認証サーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[証明書認証の動作]の[ユーザ証明書を獲得するHTTPヘッダ名]に必ず設定してください。
Interstage管理コンソールの定義詳細についてはInterstage管理コンソールのヘルプを参照してください。
認証サーバとリポジトリサーバ間にSSLアクセラレータを設置する場合、または業務システムでSSLアクセラレータを使用する場合は、本設定は必要ありません。
動作確認済みである以下のSSLアクセラレータを使用する場合に、上記以外に必要となる設定を示します。
|
SSLアクセラレータ |
追加設定 |
|
SSL Accelerator 7117 |
SSL通信時のハンドシェーク処理をキャッシュしない設定にしてください。設定方法については、SSL Accelerator 7117の“取扱説明書”を参照してください。 |
|
IPCOM 300 |
ありません。 |
- クライアント認証を有効とした場合、認証要求時に必ず証明書を選択する必要があります。証明書の送信をキャンセルした場合、SSLアクセラレータにて通信処理が切断されます。また、認証サーバで証明書の有効性確認を行うよう設定してください。
- クライアントと認証サーバ間にSSLアクセラレータを設置した高性能システムにおいて、使用する証明書の有効期限が切れている場合、SSLアクセラレータに使用する製品によっては、Webブラウザに「500 Internal Server Error」が通知される場合があります。新しい証明書を入手しブラウザに登録してください。
- SSLアクセラレータと連携してInterstage シングル・サインオンを運用する場合は、利用者の認証方式を混在させることはできません。利用者の認証方式を統一してください。
- “パスワード認証または証明書認証”の認証方式では、SSLアクセラレータと連携した運用を行うことができません。証明書認証に失敗した場合、または証明書の提示がない場合は、SSLアクセラレータにて通信処理が切断され、以下に示す画面を表示して要求したリソースへのアクセスがキャンセルされます。
Copyright 2007 FUJITSU LIMITED