Interstage Application Server シングル・サインオン運用ガイド

目次 索引

4.5.11 強制サインオフ

　利用者からの問い合わせなどから、“なりすまし”などの不正なアクセス(セション)を検出した場合、SSO管理者は、業務サーバを停止することなく不正なセションを強制的にサインオフし、シングル・サインオンシステムから不正なアクセスを締め出すことができます。
　また、特定のセションに対して強制サインオフするだけでなく、特定のユーザに対して強制サインオフすることも可能です。

　“なりすまし”などの不正アクセスは、以下のような業務サーバ、または認証サーバのアクセスログの情報などから検出することが可能です。
　アクセスログの参照方法については、“アクセスログによる保守”を参照してください。

• シングル・サインオンシステムへのアクセスを想定しているネットワーク以外のIPアドレスからのアクセスが存在する。
• 使用していないIPアドレスなどからのアクセスが存在する。

　Interstage シングル・サインオンでは、不正なセションを強制サインオフするために強制サインオフコマンド“ssosignoff”を提供しています。
　強制サインオフコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照してください。

• “なりすまし”などの不正アクセスに対し強制サインオフを行った後は、利用者にパスワードを変更するよう運用指導してください。
  パスワードを変更する際には、パスワードアタックへの対策を十分考慮する必要があります。パスワードアタックへの対策については、“セキュリティシステム運用ガイド”の“セキュリティ侵害の脅威”−“Interstage シングル・サインオン”−“セキュリティ対策”を参照してください。
• リポジトリサーバ(更新系)を複数配置し、負荷分散している場合は、セションを管理しているリポジトリサーバ(更新系)にてssosignoffコマンドを実行してください。セションを管理しているリポジトリサーバ(更新系)は、以下によって確認することができます。
  • 業務サーバのアクセスログに出力されるServer
  • セション管理ログに出力されるセションID

  業務サーバのアクセスログで確認できない時は、すべてのリポジトリサーバ(更新系)にてssosignoffコマンドを実行してください。

目次 索引