| Interstage Application Server シングル・サインオン運用ガイド |
|
目次
索引
|
| 第2章 環境構築(SSO管理者編) | > 2.2 環境構築のための準備 |
Interstage シングル・サインオンでは認証、および認可に必要となる情報をSSOリポジトリで一元管理します。ここでは、SSOリポジトリの作成にあたり、事前に設計しておく事項について説明します。
SSOリポジトリには、ロール定義、ユーザ情報、保護リソースの3つの情報が登録されます。認証基盤を新規に構築する場合は、ロール定義とユーザ情報を設計する必要があります。
ロール定義とユーザ情報を設計する際は、不正なSSOリポジトリデータが作成されないよう十分注意してください。
設計時に注意すべき項目についてまとめたSSOリポジトリデータチェックシート(Excelファイル)を提供しています。ロール定義とユーザ情報を設計する際に以下の格納先より取り出して使用してください。
なお、ロール定義とユーザ情報は、SSOリポジトリ作成後に、SSOリポジトリに登録します。保護リソースについては、業務システムの追加時に設計、登録します。
SSOリポジトリにロール定義、ユーザ情報、および保護リソースを登録するには、それぞれの情報を登録する登録先エントリを設計しておく必要があります。
登録先エントリは、SSOリポジトリを作成する際に定義します。
以下に、登録先エントリの例を示します。
|
管理情報 |
登録先エントリ |
|
ロール定義 |
ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com |
|
ユーザ情報 |
ou=User,ou=interstage,o=fujitsu,dc=com |
|
保護リソース |
ou=Resource,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com |
SSOリポジトリを作成する際に、[公開ディレクトリ]に初期値を設定した場合は、上記例に示す登録先エントリが作成されます。また、Interstage シングル・サインオンで提供しているロール定義、ユーザ情報の登録用のサンプルは上記例の登録先エントリで作成してあります。
以下の登録先に役職/所属で分類した3つのロールと、そのうちの2つのロールを含んだ1つロールセットを登録する設計例です。
ロール定義登録先:ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
|
役職/所属 |
ロール/ロールセット名 |
ロールセットに含まれるロール名 |
|
全社員 |
all |
employee、executives |
|
幹部社員 |
executives |
− |
|
一般従業員 |
employee |
− |
|
総務部 |
administration |
− |
以下の登録先に2人の利用者の情報を登録する設計例です。
ユーザ情報登録先:ou=User,ou=interstage,o=fujitsu,dc=com
|
項目 |
ユーザ情報 |
|
|
富士通太郎 |
富士通花子 |
|
|
認証方式 |
証明書認証 |
証明書認証 |
|
ユーザID |
tarou |
hanako |
|
パスワード |
00123401 |
00123402 |
|
証明書認証時に利用者を特定する情報 |
tarou@jp.sso.com |
hanako@jp.sso.com |
|
ロール名/ロールセット名 |
executives |
employee、administration |
|
再認証の間隔 |
60分 |
60分 |
|
有効期間開始日時 |
2004年01月01日00時00分00秒 |
2004年01月01日00時00分00秒 |
|
有効期間満了日時 |
2004年12月31日00時00分00秒 |
2004年12月31日00時00分00秒 |
以下の登録先エントリに、上記ロール定義およびユーザ情報を登録する設計例です。
ロール定義登録先:ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
ユーザ情報登録先:ou=User,ou=interstage,o=fujitsu,dc=com
|
目次
索引
|