|
Interstage Application Server シングル・サインオン運用ガイド
|
目次
索引
 
|
2.3.2.5 ユーザ情報のエントリ
ユーザ情報をSSOリポジトリに登録する際のエントリについて説明します。
ユーザ情報のエントリの定義には、人を対象とした一般的な定義と、プリンタなどのネットワークデバイスを対象とした特殊な定義があります。各定義のエントリに設定できる各属性は運用に応じて以下のように設定してください。
なお、各属性のサイズはSSOリポジトリに依存するため、設定可能なサイズで設定できない場合があります。
|
|
一般的な定義 |
特殊な定義 |
|
必ず設定が必要な属性 |
|
|
|
パスワード認証を行う場合に必ず設定が必要な属性 |
|
|
|
証明書認証を行う場合に必ず設定が必要な属性(注) |
- mail
- employeeNumber
- uid
- dnQualifier
|
|
|
運用に応じて設定が必要な属性 |
- ssoAuthType
- ssoRoleName
- ssoCredentialTTL
- ssoNotBefore
- ssoNotAfter
|
- ssoAuthType
- ssoRoleName
- ssoCredentialTTL
- ssoNotBefore
- ssoNotAfter
|
|
設定不要な属性 |
- ssoUserStatus
- ssoFailureCount
- ssoLockTimeStamp
- ssoSessionInfo
|
- ssoUserStatus
- ssoFailureCount
- ssoLockTimeStamp
- ssoSessionInfo
|
注)証明書中の所有者名の情報から利用者を一意に特定する属性にcnを使用しない場合は、いずれかを必ず設定してください。
統合Windows認証を行う場合は、ActiveDirectoryに登録されているユーザログオン名を設定する任意の属性を追加してください。詳細については、“Active Directoryと連携するための設定”を参照してください。
オブジェクトクラス
SSOリポジトリに登録される利用者は、以下のオブジェクトクラスで管理されます。ユーザ情報をSSOリポジトリに登録する際には以下のオブジェクトクラスを必ず設定してください。
【一般的な定義の場合】
|
ユーザ情報オブジェクトクラス |
説明 |
|
top |
基本LDAPオブジェクトクラス |
|
person |
ユーザ情報 |
|
organizationalPerson |
|
inetOrgPerson |
|
ssoUser |
SSOの利用ユーザ情報 |
【特殊な定義の場合】
|
ユーザ情報オブジェクトクラス |
説明 |
|
top |
基本LDAPオブジェクトクラス |
|
device |
プリンタなどのネットワークデバイスの情報 |
|
uidObject |
ユーザID情報(注) |
|
ssoUser |
SSOの利用ユーザ情報 |
注)セションの管理を行う場合、またはパスワード認証を行う場合に設定が必要です。
属性
利用者のユーザIDやパスワード、認証方式などは上記オブジェクトクラスの属性として設定します。Interstage シングル・サインオンで使用する属性は以下です。
【一般的な定義の場合】
|
ユーザ情報オブジェクトクラス |
属性名 |
日本語名 |
|
person |
cn |
名前
例)Fujitsu Tarou |
|
sn |
姓、またはラストネーム
例)Fujitsu |
|
userPassword |
パスワード
例)Tarou1234 |
|
organizationalPerson |
SSOの運用で使用する属性はありません。 |
- |
|
inetOrgPerson |
uid |
ユーザID
例)tarou |
|
employeeNumber |
従業員番号
例)000001 |
|
mail |
電子メールアドレス
例)tarou@jp.fujitsu.com |
|
ssoUser |
ssoRoleName |
ロール名、またはロールセット名
例)Admin |
|
ssoAuthType |
認証方式
例)basicAuthOrCertAuth |
|
ssoCredentialTTL |
再認証の間隔
例)60 |
|
ssoUserStatus |
ユーザステータス |
|
ssoNotBefore |
有効期間開始日時
例)20030101000000+0900 |
|
ssoNotAfter |
有効期間満了日時
例)20030102000000+0900 |
|
ssoFailureCount |
ユーザ名/パスワードによる認証失敗回数 |
|
ssoLockTimeStamp |
ロックアウト時間 |
|
ssoSessionInfo |
SSOセション情報 |
|
dnQualifier |
DN修飾子 |
【特殊な定義の場合】
|
ユーザ情報オブジェクトクラス |
属性名 |
日本語名 |
|
device |
cn |
名前
例)Device10000 |
|
serialNumber |
シリアル番号
例)1234-1234-AB |
|
uidObject |
uid |
ユーザID
例)1234-1234-AB |
|
ssoUser |
ssoRoleName |
ロール名、またはロールセット名
例)Admin |
|
ssoAuthType |
認証方式
例)basicAuthOrCertAuth |
|
ssoCredentialTTL |
再認証の間隔
例)60 |
|
ssoUserStatus |
ユーザステータス |
|
ssoNotBefore |
有効期間開始日時
例)20030101000000+0900 |
|
ssoNotAfter |
有効期間満了日時
例)20030102000000+0900 |
|
ssoFailureCount |
ユーザ名/パスワードによる認証失敗回数 |
|
ssoLockTimeStamp |
ロックアウト時間 |
|
ssoSessionInfo |
SSOセション情報 |
(1)cn
- 説明
- 名前として姓名を設定します。利用者のエントリを特定する名前です。
必ず設定してください。
証明書認証による運用において名前で利用者を特定する場合は、必ず一意の名前を設定してください。
- 設定可能な文字種
- ・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、シングルクォーテーション(')、コロン(:)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
- 設定例
- Fujitsu Tarou
- 注意事項
- ・設定した値は、大文字・小文字の区別をしません。
・本属性に連続してスペース( )を設定しないでください。
(2)sn
- 説明
- 姓、またはラストネームを設定します。personオブジェクトクラスの必須属性です。
一般的な定義の場合は、必ず設定してください。
- 設定可能な文字種
- ・英数字
・日本語
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、シングルクォーテーション(')、コロン(:)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
- 設定例
- Fujitsu
- 注意事項
- 設定した値は、大文字・小文字の区別をしません。
(3)userPassword
- 説明
- 利用者がパスワード認証に使用するパスワードを設定してください。
- 設定可能な文字種
- ・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、小なり(<)、大なり(>)、プラス(+)、ハイフン(-)、イコール(=)、アスタリスク(*)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、カンマ(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
- 設定例
- Tarou1234
- 注意事項
- ・設定した値は、大文字・小文字の区別をします。
・本属性に設定可能な文字以外を設定した場合には、利用者の認証に失敗します。
・本属性を複数設定しないでください。複数設定した場合は、利用者の認証が正しく行われない場合があります。
(4)uid
- 説明
- 利用者がパスワード認証に使用するユーザIDを設定してください。
必ず一意のIDを設定してください。
- 設定可能な文字種
- ・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、プラス(+)、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、セミコロン(;)、カンマ(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
- 設定可能なサイズ
- 256バイト (セションの管理を行う場合)
- 設定例
- tarou
- 注意事項
- ・設定した値は、大文字・小文字の区別をしません。
・本属性に連続してスペース( )を設定しないでください。
・本属性に設定可能な文字以外を設定した場合には、利用者の認証に失敗します。
・本属性を複数設定しないでください。複数設定した場合は、利用者の認証が正しく行われません。
(5)employeeNumber
- 説明
- 従業員番号など、利用者に割り当てられている番号を設定します。
証明書認証による運用において従業員番号で利用者を特定する場合は必ず一意の番号を設定してください。
- 設定可能な文字種
- ・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、プラス(+)、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、カンマ(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
- 設定例
- 000001
- 注意事項
- ・設定した値は、大文字・小文字の区別をしません。
- ・本属性に連続してスペース( )を設定しないでください。
(6)mail
- 説明
- 電子メールアドレスを設定します。
証明書認証による運用において電子メールアドレスで利用者を特定する場合は必ず一意のアドレスを設定してください。
- 設定可能な文字種
- ・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、プラス(+)、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、カンマ(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
- 設定例
- tarou@jp.fujitsu.com
- 注意事項
- ・設定した値は、大文字・小文字の区別をしません。
- ・本属性に連続してスペース( )を設定しないでください。
(7)serialNumber
- 説明
- シリアル番号を設定します。
証明書認証による運用においてシリアル番号で利用者を特定する場合は必ず一意の番号を設定してください。
- 設定可能な文字種
- ・英数字
・スペース( )、シングルクォーテーション(')、左括弧(()、右括弧())、プラス(+)、カンマ(,)、ハイフン(-)、ピリオド(.)、スラッシュ(/)、コロン(:)、イコール(=)、クエスチョンマーク(?)
- 設定例
- 1234-1234-AB
- 注意事項
- ・設定した値は、大文字・小文字の区別をしません。
- ・本属性に連続してスペース( )を設定しないでください。
(8)ssoRoleName
- 説明
- 利用者が属するロール名、またはロールセット名を設定します。
複数設定する場合は、「ssoRoleName」属性を複数設定してください。
- 設定可能な文字種
- ・英数字
・日本語
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、小なり(<)、大なり(>)、プラス(+)、ハイフン(-)、イコール(=)、アスタリスク(*)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
- 設定可能なサイズ
- 512バイト
- 設定例
- Admin
- 注意事項
- 本属性に、ロール定義に登録されていないロールやロールセット(削除されたため存在しなくなった場合も含む)が設定された場合、本属性は無視されます。また、本属性の設定が無視された結果、利用者の属するロールが1つもなかった場合、その利用者はInterstage シングル・サインオンで保護されるサイトにアクセスできなくなります。
(9)ssoAuthType
- 説明
- 利用者の認証方式を設定します。
省略した場合は、“basicAuthOrCertAuth”とみなします。
basicAuth:パスワード認証
certAuth:証明書認証
basicAuthAndCertAuth:パスワード認証かつ証明書認証
basicAuthOrCertAuth:パスワード認証または証明書認証
- 設定可能な文字種
- ・basicAuth
・certAuth
・basicAuthAndCertAuth
・basicAuthOrCertAuth
- 設定例
- basicAuthOrCertAuth
- 注意事項
- 設定した値は、大文字・小文字の区別をしません。
セションの管理を行う場合は、“certAuth”を設定しないでください。設定した場合は、利用者の認証に失敗します。
(10)ssoCredentialTTL
- 説明
- 再認証の間隔を[分単位]で設定します。
“0”、および“30”〜“1440”の範囲で設定してください。
“0”を設定した場合、セションの管理を行う場合は“1440”とみなし、セションの管理を行わない場合は再認証を行いません。
- 設定可能な文字種
- ・数字
- 設定例
- 60
- 注意事項
- “30”未満を設定した場合は“30”分に、“1440”を超える値を設定した場合は“1440”分(24時間)とみなします。
(11)ssoUserStatus
- 説明
- 利用者のアカウントのロック状態が以下の値で設定されます。
good:ロックされていない
locked:ロックされている
- 設定例
- good
- 注意事項
- ・ロック状態の解除はInterstage管理コンソールの[利用者のロック解除]設定で行います。ロック状態の解除方法については“ロックアウトの解除”を参照してください。
・ユーザプログラムで本属性を操作することで、利用者をロックすることができます。利用者をロックするユーザプログラムについては“利用者をロックする”を参照してください。
(12)ssoNotBefore
- 説明
- 利用者のシングル・サインオンを利用開始する日時を設定します。
設定した日時以前に利用者がシングル・サインオンを利用した場合には認証に失敗します。
日本時間を設定する場合は、“YYYYMMDDHHMMSS+0900”という形式で設定してください。グリニッジ標準時で設定する場合は“YYYYMMDDHHMMSSZ”という形式で設定してください。省略した場合は、即時にシングル・サインオンを利用できます。
なお、本属性はサマータイムに対応しています。
- YYYY:年(西暦4桁)
- MM :月(2桁)
- DD :日(2桁)
- HH :時(24時間制2桁)
- MM :分(2桁)
- SS :秒(2桁)
- 設定可能な文字種
- ・数字
- 設定例
- 20030101000000+0900
- 注意事項
- ・「ssoNotBefore」と「ssoNotAfter」には別の日時を設定してください。同じ日時を設定した場合には、利用者の認証に失敗します。
・「ssoNotBefore」は「ssoNotAfter」よりも早い日時を設定してください。「ssoNotBefore」に設定した日時よりも「ssoNotAfter」に設定した日時の方が早い場合には、利用者の認証に失敗します。
・「ssoNotBefore」と「ssoNotAfter」には、日本時間で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。
(13)ssoNotAfter
- 説明
- 利用者のシングル・サインオンを利用終了する日時を設定します。
設定した日時以降に利用者がシングル・サインオンを利用した場合には認証に失敗します。
日本時間を設定する場合は、“YYYYMMDDHHMMSS+0900”という形式で設定してください。グリニッジ標準時で設定する場合は“YYYYMMDDHHMMSSZ”という形式で設定してください。省略した場合は、無期限でシングル・サインオンの利用が可能となります。
なお、本属性はサマータイムに対応しています。
- YYYY:年(西暦4桁)
- MM :月(2桁)
- DD :日(2桁)
- HH :時(24時間制2桁)
- MM :分(2桁)
- SS :秒(2桁)
- 設定可能な文字種
- ・数字
- 設定例
- 20030102000000+0900
- 注意事項
- ・「ssoNotBefore」と「ssoNotAfter」には別の日時を設定してください。同じ日時を設定した場合には、利用者の認証に失敗します。
・「ssoNotBefore」は「ssoNotAfter」よりも早い日時を設定してください。「ssoNotBefore」に設定した日時よりも「ssoNotAfter」に設定した日時の方が早い場合には、利用者の認証に失敗します。
・「ssoNotBefore」と「ssoNotAfter」には、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。
(14)ssoFailureCount
- 説明
- 利用者がユーザ名/パスワードによる認証に失敗した回数です。
正しいユーザ名/パスワードを指定して認証に成功すると0にリセットされます。この値はリポジトリサーバにより設定されます。
- 注意事項
- 本属性は設定、および変更しないでください。
(15)ssoLockTimeStamp
- 説明
- リポジトリサーバにより利用者がロックされた日時がグリニッジ標準時(YYYYMMDDHHMMSSZ)で設定されます。
- 注意事項
- ・ユーザプログラムで本属性を操作することで、利用者をロックすることができます。利用者をロックするユーザプログラムについては“利用者をロックする”を参照してください。
・ユーザプログラムで値を設定する場合には、“YYYYMMDDHHMMSSZ”、または“YYYYMMDDHHMMSS+XXXX”という形式で設定してください。また、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。
(16)ssoSessionInfo
- 説明
- セションの管理を行う際に必要な内部情報が、リポジトリサーバにより設定されます。
- 注意事項
- 本属性は設定、および変更しないでください。
(17)dnQualifier
- 説明
- DN修飾子を設定します。
証明書認証による運用においてDN修飾子で利用者を特定する場合は必ず一意の番号を設定してください。
- 設定可能な文字種
- ・英数字
・スペース( )、シングルクォーテーション(')、左括弧(()、右括弧())、プラス(+)、カンマ(,)、ハイフン(-)、ピリオド(.)、スラッシュ(/)、コロン(:)、イコール(=)、クエスチョンマーク(?)
- 注意事項
- ・設定した値は、大文字・小文字の区別をしません。
- ・本属性に連続してスペース( )を設定しないでください。
Copyright 2007 FUJITSU LIMITED