Interstage Application Server シングル・サインオン運用ガイド

目次 索引

1.6.3 SSLアクセラレータとの連携

　Interstage シングル・サインオンでは、クライアントと認証サーバ間にSSLアクセラレータを設置することにより、クライアント証明書の認証やSSL通信を高速化することができます。
　また、認証サーバとリポジトリサーバ間、またはクライアントと業務サーバ間にSSLアクセラレータを設置することにより、SSL通信を高速化することも可能です。

　クライアントと認証サーバ間にSSLアクセラレータを設置する場合は、認証サーバにSSLアクセラレータと連携するために必要な定義を行ってください。
　認証サーバとリポジトリサーバ間にSSLアクセラレータを設置する場合は、認証サーバ、およびリポジトリサーバの設定は不要です。また、クライアントと業務サーバ間にSSLアクセラレータを設置する場合は、業務サーバの設定は不要です。

　クライアントと認証サーバ間にSSLアクセラレータを設置する場合はSSLアクセラレータに、以下の設定を行ってください。

クライアント認証

　Interstage シングル・サインオンの運用で使用する利用者の認証方式に応じて、以下のように設定してください。設定方法については、各SSLアクセラレータのマニュアルを参照してください。

認証方式	設定内容
パスワード認証	クライアント認証をしないように設定してください。(注)
証明書認証	クライアント認証をするように設定してください。(注)
パスワード認証かつ証明書認証
パスワード認証または証明書認証	クライアント証明書の提出は要求するが、認証は行わないように設定してください。

注)クライアント証明書の提出は要求するが、認証は行わない設定も可能です。

証明書を通知

　認証方式が“証明書認証”、“パスワード認証または証明書認証”、または“パスワード認証かつ証明書認証”の場合は、認証サーバにクライアントから送信された証明書を通知するHTTPヘッダを設定してください。設定方法については、各SSLアクセラレータのマニュアルを参照してください。
　なお、設定したHTTPヘッダは、認証サーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[証明書認証の動作]の[ユーザ証明書を獲得するHTTPヘッダ名]に必ず設定してください。
　Interstage管理コンソールの定義詳細についてはInterstage管理コンソールのヘルプを参照してください。

　動作確認済みである以下のSSLアクセラレータを使用する場合に、上記以外に必要となる設定を示します。

• 使用する証明書の有効期限が切れている場合、SSLアクセラレータに使用する製品によっては、Webブラウザに「500　Internal Server Error」が通知される場合があります。新しい証明書を入手しブラウザに登録してください。
• 認証サーバで証明書の有効性確認を行うよう設定してください。
• クライアント認証をしない、またはクライアント認証をするように設定したSSLアクセラレータと連携する場合、利用者の認証方式を混在させることはできません。利用者の認証方式を統一してください。
• クライアント認証をするように設定したSSLアクセラレータと連携する場合、認証要求時に必ず証明書を選択する必要があります。証明書の送信をキャンセルした場合、SSLアクセラレータにて通信処理が切断され、以下に示す画面を表示して要求したリソースへのアクセスがキャンセルされます。

目次 索引