|
Interstage Application Server シングル・サインオン運用ガイド
|
目次
索引
|
付録G 認証サーバへの保護リソースの設定
ここでは、保護リソースの情報を認証サーバに設定するために必要な環境定義について説明します。
業務システムの保護リソース以外からの認証要求を抑止する場合は、SSOリポジトリに登録した業務システムのサイト定義、および保護パスの情報を認証サーバの環境定義ファイルに設定する必要があります。
認証サーバの環境定義ファイルを更新する場合は、以下の手順に従って行ってください。
- 認証サーバを停止します。
- 認証サーバの環境定義ファイルを更新します。
- 認証サーバを起動します。
認証サーバの起動、および停止手順については、“認証サーバの起動”、または“認証サーバの停止”を参照してください。
- 業務システムの保護リソース以外からの認証要求を抑止するための環境定義については、環境定義ファイルの直接編集でのみ設定が可能です。通常のシングル・サインオンシステムの各サーバの環境定義と同様に、Interstage管理コンソールを使用して設定することはできません。
- セションの管理を行う場合は、本設定を行う必要はありません。
環境定義ファイルを設定する際の注意
各環境定義ファイルを設定する場合は、以下の点に注意してください。
- 環境定義ファイルの設定ミスなどによるエラーメッセージは、システムのログに記録されます。この際、システムのログに同一のメッセージが重複して記録される場合があります。
- 環境定義ファイル内の各項目は、“定義名=設定値”の形式で、行の先頭から設定してください。また、“=”の前後には空白を入れずに設定してください。
- 複数行での設定が可能な項目以外を複数の行で設定した場合は、ファイルの先頭行からみて最初に出現する行の設定が有効となり、2回目以降に出現する行の設定は無視されます。
- 環境定義ファイル内の各項目には、余分な空白を入れずに正確に設定してください。
例えば、“定義名=123 ”(123の後に空白)や、“定義名= NO”(NOの前に空白)といった設定は、正しくありません。このように設定された場合は、省略されたものとみなして動作します。
- 環境定義ファイルに存在しない(不当な)項目名が設定された場合は、無視されます。
- 一度に複数の値が設定可能な項目については、カンマ“,”で区切って続けて設定してください。
- “#”で始まる行は、コメント行とみなします。
以下に、環境定義ファイルの設定例(設定に誤りがある例)を示します。
|
repository-port=□389 <−□は半角空白
#repository-bind-dn=cn=admin
repository-user-search-base=ou=User,o=Interstage,c=jp
repository-user-search-base=ou=User1,o=Interstage,c=jp
accesslog-save-all=NO
repository-role-search-base=□↓ <−□は半角空白、↓は改行 |
- 1行目の、“repository-port”には、“=”の後に空白が入っているため、“ 389”が設定されたものとみなします。
- 2行目には、先頭に“#”をつけているため、コメント行とみなします。
- 3行目と4行目の、“repository-user-search-base”のように、同じ定義名による設定が複数存在する場合は、先頭からみて、最初に出現する行(3行目)に設定した値が有効となり、それ以降の設定は無効となります。
- 5行目の、“accesslog-save-all-log”の定義名を間違えて、“accesslog-save-all”と設定した場合は、設定されていないものとみなします。項目の設定が省略可能な項目については省略値で動作し、必須の項目についてはエラーとなります。
- 6行目の、“repository-role-search-base”には空白が設定されています。このような場合は、項目の設定自体が無効となります。項目の設定が省略可能な項目については省略値で動作し、必須の項目についてはエラーとなります。
認証サーバの環境定義ファイルの更新
認証サーバに格納されている環境定義ファイルに、SSOリポジトリに登録した業務システムのサイト定義、および保護パスの情報を定義します。
以下の表に示す各設定項目を、テキストエディタなどを使用して設定してください。
以下の表に示す設定項目以外は編集しないでください。設定項目以外を編集した場合、認証サーバが正しく動作しなくなる場合があります。
認証サーバの定義ファイル名と格納先
- 定義ファイル名
- ssoatcag.conf
- 定義ファイルの格納先
- C:\Interstage\F3FMsso\ssoatcag\conf
- /etc/opt/FJSVssoac/conf
|
項目 |
定義名 |
設定内容 |
省略可否 |
|
保護リソース以外からの認証要求の抑止 |
reject-incorrect-protection-resource-url |
業務システムの保護リソース以外からの認証要求を抑止するかどうかを設定します。
YES:抑止します。
NO:抑止しません。
本項目を省略した場合は、“NO”が設定されたものとみなします。
また、上記以外の値を設定した場合は、システムのログにsso02040を出力し、“NO”が設定されたものとみなします。
フォーム認証で運用し、利用者が直接認証基盤のURLにアクセスして認証する場合は、認証要求の抑止は行いません。 |
省略可 |
|
認証要求を受け付ける保護リソースのURL |
protection-resource-url |
業務システムの保護リソース以外からの認証要求を抑止する場合において、認証要求を受け付ける保護リソースのURLを設定します。
本項目は、“reject-incorrect-protection-resource-url”に“YES”を設定した場合のみ有効です。
保護リソースのURLには、SSOリポジトリに登録されているサイト定義、およびパス定義の情報を、以下のURL形式で設定します。
<URL形式>
[プロトコルスキーム][ホスト名][:ポート番号][パス]
[プロトコルスキーム]:
“https://”、または“http://”を設定してください。
[ホスト名]:
保護リソースのサイト定義で定義されているホスト名をFQDNで設定してください。ホスト名には、“@”、“?”、“&”を含めないでください。
[:ポート番号]:
保護リソースのサイト定義で定義されているポート番号を設定してください。ポート番号は省略することができます。省略した場合は、URLのプロトコルスキームの設定によって、ポート番号は以下のように設定されたものとみなします。
・プロトコルスキームが“https://”の場合
ポート番号:“:443”
・プロトコルスキームが“http://”の場合
ポート番号:“:80”
[パス]:
保護リソースのパス定義を設定してください。パスは省略できません。以下に注意して設定してください。
・“/”から始まるパスを必ず設定してください。
・相対パス(“/./”、“/../”)、連続した“/”(“//”)、および“;”を含めないでください。
・“/.”、または“/..”で終わる文字列を設定しないでください。
上記のURL形式については、以下に注意して設定してください。
- 英数字、または記号のみを使用してください。ただし、以下の記号は使用できません。
“<”、“>”、“"”、“{”、“}”、“|”、“\”、“^”、“[”、“]”、“`”、“ ”、“%”、“#”
- 漢字などのマルチバイト文字(MBCS)は使用しないでください。
- 2048バイト以内の文字列を指定してください。
- 設定するURL形式にはクエリ文字列は含めないでください。
保護リソースのURLの設定例)
httpsで運用するポート番号443の保護サイト“bus.example.com”の保護パス“/protect/”を指定する場合。
protection-resource-url=https://bus.example.com:443/protect/
設定された保護リソースのURLの末尾が“/”の場合はディレクトリとして扱い、設定値と認証要求時に提示されたURLが前方一致した場合にのみ、認証要求を受け付ける保護リソースに該当したとみなします。
URLの末尾が“/”以外の場合はファイルとして扱い、設定値と認証要求時に提示されたURLが完全一致した場合にのみ、認証要求を受け付ける保護リソースに該当したとみなします。
保護リソースのURLを複数設定する場合は、1行に1つの保護リソースのURLを設定し、複数の行に繰り返して設定してください。
複数設定した場合は、先頭行から順に、設定値と認証要求時に提示されたURLが一致するか判定します。一致しない場合は、次の行の設定値と判定します。
設定例)
2つの保護リソースのURLを設定する場合。
protection-resource-url=https://bus.example.com:443/protect/
protection-resource-url=https://bus.example.com:443/bussystem/
“reject-incorrect-protection-resource-url”が“YES”の場合に本項目を省略した場合は、認証サーバ起動時にシステムのログにsso02008のエラーメッセージを出力し、認証サーバを停止します。
保護リソースのURLの設定値が正しくない場合は、認証サーバ起動時にシステムのログにsso02007のエラーメッセージを出力し、認証サーバを停止します。 |
省略可
(“reject-incorrect-protection-resource-url”が“YES”の場合は必須) |
以下に、定義ファイルの設定例を示します。
保護リソース以外からの認証要求を抑止し、認証要求を受け付ける保護リソースのURLに以下を設定している例です。
保護リソースのURL : https://bus.example.com:443/protect/
: https://bus.example.com:443/bussystem/
|
reject-incorrect-protection-resource-url=YES
protection-resource-url=https://bus.example.com:443/protect/
protection-resource-url=https://bus.example.com:443/bussystem/ |
定義項目“protection-resource-url”の設定値について
認証サーバの定義項目“protection-resource-url”には、SSOリポジトリに登録したすべての保護リソース情報を正しく設定してください。設定値がSSOリポジトリに登録した保護リソース情報と同等でない場合、保護リソース以外からの認証要求の抑止が正しく行われません。
Interstage Security DirectorのInterstage シングル・サインオン連携機能を使用する場合
Interstage Security Directorが提供するInterstage シングル・サインオン連携機能を使用する場合、認証サーバの定義項目“protection-resource-url”には、以下のURL形式で設定してください。
<URL形式>
[プロトコルスキーム][ホスト名][:ポート番号][パス]
[プロトコルスキーム]:
Interstage Security Directorのクライアント間の通信方法に合わせて、以下のように設定します。
・Interstage Security Directorとクライアント間がHTTP通信の場合
“http://”を設定します。
・Interstage Security Directorとクライアント間がSSL通信の場合
“https://”を設定します。
[ホスト名]:
認証サーバへ送信するPROXYサーバの自サーバ名を設定します。
Interstage Security Directorの以下に指定したサーバ名を設定してください。
・Interstage シングル・サインオン認証サーバ設定の“PROXYの自サーバ名”
[:ポート番号]:
PROXYサーバがクライアントからの要求を受け付けるポート番号を設定します。
Interstage Security Directorの以下に指定したポート番号を設定してください。
・PROXYサーバ環境設定の基本設定の“ポート番号”
[パス]:
“/”を設定してください。
Interstage Security Directorの設定については、Interstage Security Directorのマニュアルの、“HTTPアプリケーションゲートウェイ機能説明書(統合環境設定編)”-“Interstage シングル・サインオン連携機能”を参照してください。
保護リソース情報の追加、変更、または削除
SSOリポジトリ上の保護リソース情報の追加、変更、または削除を行った場合、認証サーバの定義項目“protection-resource-url”を編集し、認証サーバを再起動してください。
また、実際に保護リソースにアクセスを行い、定義通りに正しく動作しているか確認するよう業務サーバ管理者に依頼してください。
Copyright 2007 FUJITSU LIMITED