Interstage Application Server シングル・サインオン運用ガイド

目次 索引

1.6.4 Interstage Security Directorとの連携

　Interstage Security Directorが提供するHTTPアプリケーションゲートウェイ機能と連携することにより、クライアントがインターネットからアクセスするシングル・サインオンの運用を安全に実現することができます。
　Interstage Security Directorは、アプリケーションサーバとインターネットとの間で行われるデータ通信のセキュリティ問題を解決するための製品です。

　Interstageシングル・サインオンは、Interstage Security Directorが提供する以下の2つの機能と連携することができます。

• Interstage シングル・サインオン連携機能(注)
• リバース機能

　注)セションの管理を行わない場合にのみ、使用することができます。

Interstage シングル・サインオン連携機能

　Interstage Security Directorが提供するInterstage シングル・サインオン連携機能により、Interstage Security Directorで実施するアクセス制御の認証基盤として認証サーバと連携することができます。認証サーバとの連携により、Interstage Security Directorでのロール制御、ユーザ制御が可能になります。また、ユーザ単位での認証方式、有効時間などをInterstage シングル・サインオンのポリシーに統一することが可能となります。

　なお、Interstage シングル・サインオン連携機能によりInterstage Security Directorと連携する認証サーバにおいては、以下のように設定を行ってください。

• 小規模システムの場合
  認証サーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択後、[認証サーバ詳細設定[表示]]をクリックし、[パスワード認証]の[ユーザID/パスワードの入力画面]で“基本認証ダイアログ”を設定してください。
• 中規模、または大規模システムの場合
  認証サーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択後、[認証サーバの作成]を選択し、[ファイルの指定]で認証基盤構築ファイルを指定して[次へ]ボタンをクリックします。[詳細設定[表示]]をクリックし、[パスワード認証]の[ユーザID/パスワードの入力画面]で“基本認証ダイアログ”を設定してください。

• Interstage シングル・サインオン連携機能を使用する場合は、サービスIDファイルが必要です。Interstage Security Directorで使用するサービスIDファイルは、認証基盤を構築したリポジトリサーバでssomksidコマンドを実行することで作成することができます。
• Interstage シングル・サインオン連携機能については、Interstage Security Directorのマニュアルの“HTTPアプリケーションゲートウェイ機能説明書(統合環境設定編)”−“Interstage シングル・サインオン連携機能”を参照してください。

リバース機能

　Interstage Security Directorが提供するリバース機能により、インターネット上のクライアントから、より安全なイントラネット内へのアクセスを可能とすることができます。

　リバース機能を使用する場合、以下の2通りのシステムを構築することができます。

• インターネット上のクライアントとイントラネット内のクライアントからアクセス可能なシングル・サインオンのシステム
• インターネット上のクライアントだけアクセス可能なシングル・サインオンのシステム

　さらに、上記の2つのシステムにおいて、Interstage Security Directorと認証サーバの間の通信方法に応じて、以下の2パターンの運用を行うことができます。

• Interstage Security Directorと認証サーバの間を非SSL通信で行う
• Interstage Security Directorと認証サーバの間をSSL通信で行う

　以下に、Interstage Security Directorのリバース機能を使用して構築できるシステムの設定について説明します。

• Interstage Security Directorと認証サーバの間をSSL通信で行うことにより、よりセキュリティを強化することができます。
• Interstage Security Directorの設定を行う前に必要な前準備については、Interstage Security Directorのマニュアルの“HTTPアプリケーションゲートウェイ機能説明書(統合環境設定編)”−“管理コンソールの準備”および“SSLによるセキュリティ”を参照してください。

１．インターネット上のクライアントとイントラネット内のクライアントからアクセス可能なシングル・サインオンのシステム

　インターネット上のクライアント、およびイントラネット内のクライアントの両方からアクセスが可能であるシングル・サインオンのシステムについて説明します。

　本システムで運用する場合は、以下の点に注意してください。

• インターネット上からアクセスしたクライアントに対しても、URLのパラメタの一部としてイントラネット内での業務システムのURL情報が伝わることがあります。
• Interstage Security Directorと認証サーバの間をSSL通信で行う場合は、インターネット上からアクセスする利用者の認証方式が限定されます。詳細については、“Interstage Security Directorと認証サーバの間をSSL通信で行う”を参照してください。

【Interstage Security Directorと認証サーバの間を非SSL通信で行う】

　本システム構成で運用を行う場合は、イントラネット内の認証サーバとクライアントの間にはSSLアクセラレータを設置してください。なお、SSLアクセラレータのポート番号はInterstage Security Directorのポート番号と同一にしてください。
　また、SSLアクセラレータを設置することにより、イントラネット内からアクセスする利用者の認証方式が限定されます。詳細については、“SSLアクセラレータとの連携”を参照してください。

　SSLアクセラレータにIPCOM300など仮想IPアドレスを通信に使用する装置を使用して、本システムを構成することはできません。

Interstage Security Directorの設定

• 基本設定
  [PROXY]のチェックボックスをチェックし、[IPアドレス]および[ポート番号]に、Interstage Security DirectorのIPアドレスおよびポート番号を設定してください。
• リバースWWW設定
  上図のリバース設定の例を以下に示します。
  業務サーバのリバース設定の要求元URLのディレクトリは、業務サーバごとに1階層のディレクトリを指定してください。例）/www1/、/www2/

  要求元URL	変換制御	中継先URL	備考
  https://sd.fujitsu.com:443/www1/	<------>	http://www.fujitsu.com:80/	業務サーバのリバース設定
  https://sd.fujitsu.com:443/auth/	<------>	http://auth.fujitsu.com:80/	認証サーバのリバース設定
  https://sd.fujitsu.com:443/auth/	<-------	https://auth.fujitsu.com:443/

• リバース制御設定
  • [リバース制御を行う]のチェックボックスをチェックしてください。
  • [クライアントとの接続にSSLを使用する]のチェックボックスをチェックし、[SSLプロトコルバージョン]に“SSL2.0/3.0”を選択してください。
  • [自サーバ名]に、Interstage Security Directorのホスト名、またはIPアドレスを設定してください。
  • [Cookie変換を行う]のチェックボックスをチェックしてください。
• ヘッダ設定
  [クライアント証明書をヘッダで送信する]のチェックボックスをチェックし、[ヘッダ名]を設定してください。

認証サーバの設定

• 小規模システムの場合
  • 認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択し、[簡易設定]の[SSLの運用]を“その他で行う”に設定してください。
  • 認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択し、[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ名]に、Interstage Security Directorに設定した同一のヘッダ名を設定してください。
• 中規模、または大規模システムの場合
  • 認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択後、[認証サーバの作成]を選択し、 [ファイルの指定]で認証基盤構築ファイルを指定して[次へ]ボタンをクリックします。[簡易設定]の[SSLの運用]を“その他で行う”に設定してください。
  • 認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択後、[認証サーバの作成]を選択し、[ファイルの指定]で認証基盤構築ファイルを指定して[次へ]ボタンをクリックします。[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ名]に、Interstage Security Directorに設定した同一のヘッダ名を設定してください。

業務システム構築ファイルの設定(注)

　リポジトリサーバ(複数台で運用している場合は、更新系)のInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [業務システム構築ファイル]タブを選択してください。[詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証サーバのURL]に業務システムが参照する認証サーバのURLを指定してください。業務システムが参照する認証サーバのURLについては“業務システムが参照する認証サーバのURLについて”を参照してください。

　注)セションの管理を行わない場合、本設定は不要です。

【Interstage Security Directorと認証サーバの間をSSL通信で行う】

　本システム構成で運用を行う場合は、インターネット上からアクセスする利用者の認証方式が、以下の2パターンに限定されます。なお、利用者の認証方式として“パスワード認証または証明書認証”を使用することはできません。

• “パスワード認証”のみを行う場合
• “証明書認証”のみ、または“パスワード認証、かつ証明書認証”を行う場合

　インターネット上からアクセスする利用者の認証方式に応じて、Interstage Security Director、および認証サーバの設定が異なりますのでご注意ください。

Interstage Security Directorの設定

• 基本設定
  [PROXY]のチェックボックスをチェックし、[IPアドレス]および[ポート番号]に、Interstage Security DirectorのIPアドレスおよびポート番号を設定してください。
• リバースWWW設定
  上図のリバース設定の例を以下に示します。
  業務サーバのリバース設定の要求元URLのディレクトリは、業務サーバごとに1階層のディレクトリを指定してください。例）/www1/、/www2/

  要求元URL	変換制御	中継先URL	備考
  https://sd.fujitsu.com:443/www1/	<------>	https://www.fujitsu.com:443/	業務サーバのリバース設定
  https://sd.fujitsu.com:443/auth/	<------>	https://auth.fujitsu.com:443/	認証サーバのリバース設定

• リバース制御設定
  • [リバース制御を行う]のチェックボックスをチェックしてください。
  • [クライアントとの接続にSSLを使用する]のチェックボックスをチェックし、[SSLプロトコルバージョン]に“SSL2.0/3.0”を選択してください。また、インターネット上のクライアントからアクセスする利用者の認証方式を、“証明書認証”のみ、または“パスワード認証、かつ証明書認証”とする場合は、[クライアント認証を行う]のチェックボックスをチェックしてください。
  • [サーバとの接続にSSLを使用する]のチェックボックスをチェックし、[SSLプロトコルバージョン]に“SSL2.0/3.0”を選択してください。
  • [自サーバ名]に、Interstage Security Directorのホスト名、またはIPアドレスを設定してください。
  • [Cookie変換を行う]のチェックボックスをチェックしてください。
• ヘッダ設定
  本システムで証明書認証を行う場合は、[クライアント証明書をヘッダで送信する]のチェックボックスをチェックし、[ヘッダ名]を設定してください。

認証サーバの設定

　インターネット上のクライアントからアクセスする利用者の認証方式に応じて以下の設定を行ってください。

• “パスワード認証”のみを行う場合
  認証サーバでSSLの定義を作成する際には、認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [SSL] > [新規作成]タブを選択し、[簡易設定]で[クライアント認証]を“しない”に設定してください。
• “証明書認証”のみ、または“パスワード認証、かつ証明書認証”を行う場合
  認証サーバでSSLの定義を作成する際には、認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [SSL] > [新規作成]タブを選択し、[簡易設定]で[クライアント認証]を“する(クライアント証明書が提示された場合、認証する)”に設定してください。

　なお、本システムで証明書認証を行う場合は、以下の設定を行ってください。

• 小規模システムの場合
  認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択し、[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ名]に、Interstage Security Directorに設定した同一のヘッダ名を設定してください。
• 中規模、または大規模システムの場合
  認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択後、[認証サーバの作成]を選択し、[ファイルの指定]で認証基盤構築ファイルを指定して[次へ]ボタンをクリックします。[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ名]に、Interstage Security Directorに設定した同一のヘッダ名を設定してください。

２．インターネット上のクライアントだけアクセス可能なシングル・サインオンのシステム

　インターネット上のクライアントだけアクセスすることが可能なシングル・サインオンのシステムについて説明します。

　本システムで運用する場合は、以下の点に注意してください。

• イントラネット内のクライアントから業務システムの保護リソースにアクセスすることはできません。
• 業務システムの設計において以下の点にご注意ください。
  • 業務システムのURLのパス部分の1階層目はすべて、ほかの業務システムと重ならないようにしてください。
  • 業務システムのルートパス(“/”)はクライアントからアクセスできません。

【Interstage Security Directorと認証サーバの間を非SSL通信で行う】

Interstage Security Directorの設定

• 基本設定
  [PROXY]のチェックボックスをチェックし、[IPアドレス]および[ポート番号]に、Interstage Security DirectorのIPアドレスおよびポート番号を設定してください。
• リバースWWW設定
  上図のリバース設定の例を以下に示します。
  業務システムのリバース設定では、要求元URLと中継元URLのパス部分が同一になるようにしてください。なお、業務システムのURLのディレクトリの1階層目として使用しているものをすべて指定してください。

  要求元URL	変換制御	中継先URL	備考
  https://sd.fujitsu.com:443/dir1/	<------>	http://www.fujitsu.com:80/dir1/	業務サーバ1のリバース設定
  https://sd.fujitsu.com:443/dir1/	<-------	https://sd.fujitsu.com:443/dir1/
  https://sd.fujitsu.com:443/dir2/	<------>	http://www.fujitsu.com:80/dir2/
  https://sd.fujitsu.com:443/dir2/	<-------	https://sd.fujitsu.com:443/dir2/
  https://sd.fujitsu.com:443/dir3/	<------>	http://www2.fujitsu.com:80/dir3/	業務サーバ2のリバース設定
  https://sd.fujitsu.com:443/dir3/	<-------	https://sd.fujitsu.com:443/dir3/
  https://sd.fujitsu.com:443/auth/	<------>	http://auth.fujitsu.com:80/	認証サーバのリバース設定
  https://sd.fujitsu.com:443/auth/	<-------	https://sd.fujitsu.com:443/	追加で必要なリバース設定

• リバース制御設定
  • [リバース制御を行う]のチェックボックスをチェックしてください。
  • [クライアントとの接続にSSLを使用する]のチェックボックスをチェックし、[SSLプロトコルバージョン]に“SSL2.0/3.0”を選択してください。
  • [自サーバ名]に、Interstage Security Directorのホスト名、またはIPアドレスを設定してください。
  • [Cookie変換を行う]のチェックボックスをチェックしてください。
• ヘッダ設定
  [クライアント証明書をヘッダで送信する]のチェックボックスをチェックし、[ヘッダ名]を設定してください。

認証サーバの設定

• 小規模システムの場合
  • 認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択し、[簡易設定]の[SSLの運用]を“その他で行う”に設定してください。
  • 認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択し、[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ名]に、Interstage Security Directorに設定した同一のヘッダ名を設定してください。
• 中規模、または大規模システムの場合
  • 認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択後、[認証サーバの作成]を選択し、[ファイルの指定]で認証基盤構築ファイルを指定して[次へ]ボタンをクリックします。[簡易設定]の[SSLの運用]を“その他で行う”に設定してください。
  • 認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択後、[認証サーバの作成]を選択し、[ファイルの指定]で認証基盤構築ファイルを指定して[次へ]ボタンをクリックします。[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ名]に、Interstage Security Directorに設定した同一のヘッダ名を設定してください。

業務システム構築ファイルの設定(注)

　リポジトリサーバ(複数台で運用している場合は、更新系)のInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [業務システム構築ファイル]タブを選択してください。[詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証サーバのURL]に業務システムが参照する認証サーバのURLを指定してください。業務システムが参照する認証サーバのURLについては“業務システムが参照する認証サーバのURLについて”を参照してください。

　注)セションの管理を行わない場合、本設定は不要です。

【Interstage Security Directorと認証サーバの間をSSL通信で行う】

Interstage Security Directorの設定

• 基本設定
  [PROXY]のチェックボックスをチェックし、[IPアドレス]および[ポート番号]に、Interstage Security DirectorのIPアドレスおよびポート番号を設定してください。
• リバースWWW設定
  上図のリバース設定の例を以下に示します。
  業務システムのリバース設定では、要求元URLと中継元URLのパス部分が同一になるようにしてください。なお、業務システムのURLのディレクトリの1階層目として使用しているものをすべて指定してください。

  要求元URL	変換制御	中継先URL	備考
  https://sd.fujitsu.com:443/dir1/	<------>	https://www.fujitsu.com:443/dir1/	業務サーバ1のリバース設定
  https://sd.fujitsu.com:443/dir2/	<------>	https://www.fujitsu.com:443/dir2/
  https://sd.fujitsu.com:443/dir3/	<------>	https://www2.fujitsu.com:443/dir3/	業務サーバ2のリバース設定
  https://sd.fujitsu.com:443/auth/	<------>	https://auth.fujitsu.com:443/	認証サーバのリバース設定
  https://sd.fujitsu.com:443/	<-------	https://sd.fujitsu.com:443/	追加で必要なリバース設定

• リバース制御設定
  • [リバース制御を行う]のチェックボックスをチェックしてください。
  • [クライアントとの接続にSSLを使用する]のチェックボックスをチェックし、[SSLプロトコルバージョン]に“SSL2.0/3.0”を選択してください。
  • [サーバとの接続にSSLを使用する]のチェックボックスをチェックし、[SSLプロトコルバージョン]に“SSL2.0/3.0”を選択してください。
  • [自サーバ名]に、Interstage Security Directorのホスト名、またはIPアドレスを設定してください。
  • [Cookie変換を行う]のチェックボックスをチェックしてください。
• ヘッダ設定
  [クライアント証明書をヘッダで送信する]のチェックボックスをチェックし、[ヘッダ名]を設定してください。

認証サーバの設定

　認証サーバのSSLの定義を作成する際には、認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [SSL] > [新規作成]タブを選択し、[簡易設定]で[クライアント認証]に“しない”を設定してください。

　なお、本システムで証明書認証を行う場合は、以下の設定を行ってください。

• 小規模システムの場合
  認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバと認証サーバを1台のマシンに構築する。]を選択し、[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ名]に、Interstage Security Directorに設定した同一のヘッダ名を設定してください。
• 中規模、または大規模システムの場合
  認証サーバのInterstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤の構築]タブ > [リポジトリサーバ、認証サーバを別々のマシンに構築する。]を選択後、[認証サーバの作成]を選択し、[ファイルの指定]で認証基盤構築ファイルを指定して[次へ]ボタンをクリックします。[簡易設定]の[ユーザ証明書を獲得するHTTPヘッダ名]に、Interstage Security Directorに設定した同一のヘッダ名を設定してください。

目次 索引