| Interstage Application Server シングル・サインオン運用ガイド |
|
目次
索引
|
| 第1章 概要 | > 1.5 認可 |
ロールによる認可に必要な情報として、以下の情報をSSOリポジトリに登録する必要があります。
以下に、SSOリポジトリ内の各定義の例を示します。アクセス制御情報とは、ロール定義と保護リソースの双方を合わせたものです。
ロール定義には、使用するロール名/ロールセット名を登録します。
ロールは、利用者が業務システムにアクセスした際の認可に使用します。業務システムを利用する各利用者の所属や役割をもとに設計してください。「一般従業員」、「管理職」といった役職や「経理部」、「総務部」といった所属をロールとして作成する場合は、以下のように役職や所属に対応するロール名でSSOリポジトリに設定します。
また、組織の階層などにより複数のロールをまとめてロールセットとして作成し、リソース情報に設定することにより、組織変更時などに柔軟に対応できます。
Interstage シングル・サインオンは、ロールにより認可を実現しています。SSOリポジトリには必ずロール定義を行ってください。ロール定義を行わないと、リポジトリサーバが起動しません。
|
役職/所属 |
ロール名 |
|
一般従業員 |
employee |
|
幹部社員 |
executives |
|
経理部 |
finance department |
|
総務部 |
administration department |
|
役職/所属 |
ロールセット名 |
含まれるロール |
|
全社員 |
all |
employee、executives |
業務システムで公開するHTMLやCGIなどの資源(リソース)で、利用者のアクセスに認証・認可が必要となるリソースを保護リソースとして設定します。
保護リソースは、サイト定義とパス定義より構成されています。
業務システムのサイト名を定義します。サイト名は、FQDN+ポート番号の形式です。FQDN (Fully Qualified Domain Name)とは、ドメインも含んだホスト名のことです。
業務システムの公開URLが“https://www.fujitsu.com:443/index.html”の場合は、“www.fujitsu.com:443”がサイト名となります。
サイト定義で定義したサイトの、認証・認可の対象となるディレクトリ名、またはファイル名を指定します。ディレクトリ名を指定した場合(パスの最後に“/”を付加した場合)は、指定したディレクトリ配下の資源すべてが認証・認可の対象となります。
また、設定したディレクトリ/ファイルへのアクセスを許可するロール名やロールセット名を設定します。ロールやロールセットは複数設定できます。
パス定義の設定による認証・認可の仕様は次のとおりです。
パス定義に設定したロール名やロールセット名がロール定義に定義されていない場合は、業務サーバにおいてアクセス制御情報の更新を行うことができません。また、パス定義に設定するロール名やロールセット名は、必ずロール定義に定義されたものを設定してください。
|
目次
索引
|