Interstage Application Server シングル・サインオン運用ガイド

目次 索引

F.1.2 Active Directoryのユーザ情報の設定

　Active Directoryにユーザ情報を設定する際の注意点、およびポイントについて説明します。

　各定義のエントリに設定できる各属性は、運用に応じて以下のように設定してください。
　なお、各属性のサイズはActive Directoryに依存します。

　注1)本属性は、Active Directoryの構築直後にすでに存在するユーザアカウント(Administratorなど)には含まれていません。このようなユーザアカウントを使用して統合Windows認証を行う場合は、本属性を設定してから認証操作を行ってください。
　注2)Interstageシングル・サインオンでは、本属性を、ユーザを一意に特定する識別情報であるユーザIDと見なして動作します。
　注3)ユーザ証明書中の所有者名の情報から利用者を一意に特定する属性です。いずれかを必ず設定してください。

オブジェクトクラス

　Active Directoryに登録する利用者は、以下のオブジェクトクラスで管理されます。ユーザ情報をActive Directoryに登録する際には以下のオブジェクトクラスで構成されるように設定してください。

【シングル・サインオンの拡張スキーマを使用しない場合】

【シングル・サインオンの拡張スキーマを使用する場合】

　注1)シングル・サインオンの拡張スキーマの設定時に、シングル・サインオン拡張オブジェクトクラススキーマのサンプルファイルを編集し、userオブジェクトクラスに対して、シングル・サインオンのスキーマ拡張を行った場合、ユーザ情報に登録する必要はありません。
　注2)ssoUserオブジェクトクラスは、シングル・サインオンの拡張スキーマの設定時に、inetOrgPersonオブジェクトクラス、またはuserオブジェクトクラスの補助型クラスとして設定します。そのため、ユーザ情報に登録する必要はありません。

属性

　Interstageシングル・サインオンで使用する属性について説明します。
　Active Directoryの属性については、Active Directoryのマニュアルを参照してください。

(1)ssoRoleName

　SSOリポジトリに登録するユーザ情報と同様です。ユーザ情報のエントリを参照してください。

(2)ssoAuthType

　SSOリポジトリに登録するユーザ情報と同様です。ユーザ情報のエントリを参照してください。

(3)ssoCredentialTTL

　SSOリポジトリに登録するユーザ情報と同様です。ユーザ情報のエントリを参照してください。

(4)ssoUserStatus

説明

パスワード認証を行った場合に、利用者のアカウントのロック状態が以下の値で設定されます。
　good：ロックされていない
　locked：ロックされている

設定例

good

注意事項

・ユーザ情報に値を必ず設定してください。設定していない場合は、認証に失敗します。

・ロック状態の解除はInterstage管理コンソールの[利用者のロック解除]設定で行います。ロック状態の解除方法については“ロックアウトの解除”を参照してください。
・ユーザプログラムで本属性を操作することで、利用者をロックすることができます。利用者をロックするユーザプログラムについては“利用者をロックする”を参照してください。

(5)ssoNotBefore

説明

利用者のシングル・サインオンを利用開始する日時を設定します。
設定した日時以前に利用者がシングル・サインオンを利用した場合には認証に失敗します。
日本時間を設定する場合は、“YYYYMMDDHHMMSS.0+0900”という形式で設定してください。グリニッジ標準時で設定する場合は“YYYYMMDDHHMMSS.0Z”という形式で設定してください。省略した場合は、即時にシングル・サインオンを利用できます。
なお、本属性はサマータイムに対応しています。

　YYYY：年(西暦4桁)

　MM ：月(2桁)

　DD ：日(2桁)

　HH ：時(24時間制2桁)

　MM ：分(2桁)

　SS ：秒(2桁)

設定可能な文字種

・数字

設定例

20030101000000.0+0900

注意事項

・「ssoNotBefore」と「ssoNotAfter」には別の日時を設定してください。同じ日時を設定した場合には、利用者の認証に失敗します。
・「ssoNotBefore」は「ssoNotAfter」よりも早い日時を設定してください。「ssoNotBefore」に設定した日時よりも「ssoNotAfter」に設定した日時の方が早い場合には、利用者の認証に失敗します。
・「ssoNotBefore」と「ssoNotAfter」には、日本時間で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。

(6)ssoNotAfter

説明

利用者のシングル・サインオンを利用終了する日時を設定します。
設定した日時以降に利用者がシングル・サインオンを利用した場合には認証に失敗します。
日本時間を設定する場合は、“YYYYMMDDHHMMSS.0+0900”という形式で設定してください。グリニッジ標準時で設定する場合は“YYYYMMDDHHMMSS.0Z”という形式で設定してください。省略した場合は、無期限でシングル・サインオンの利用が可能となります。
なお、本属性はサマータイムに対応しています。

　YYYY：年(西暦4桁)

　MM ：月(2桁)

　DD ：日(2桁)

　HH ：時(24時間制2桁)

　MM ：分(2桁)

　SS ：秒(2桁)

設定可能な文字種

・数字

設定例

20030102000000.0+0900

注意事項

・「ssoNotBefore」と「ssoNotAfter」には別の日時を設定してください。同じ日時を設定した場合には、利用者の認証に失敗します。
・「ssoNotBefore」は「ssoNotAfter」よりも早い日時を設定してください。「ssoNotBefore」に設定した日時よりも「ssoNotAfter」に設定した日時の方が早い場合には、利用者の認証に失敗します。
・「ssoNotBefore」と「ssoNotAfter」には、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。

(7)ssoFailureCount

　SSOリポジトリに登録するユーザ情報と同様です。ユーザ情報のエントリを参照してください。

(8)ssoLockTimeStamp

説明

リポジトリサーバにより利用者がロックされた日時がグリニッジ標準時(YYYYMMDDHHMMSSZ.0Z)で設定されます。

注意事項

・ユーザプログラムで本属性を操作することで、利用者をロックすることができます。利用者をロックするユーザプログラムについては“利用者をロックする”を参照してください。
・ユーザプログラムで値を設定する場合には、“YYYYMMDDHHMMSS.0Z”、または“YYYYMMDDHHMMSS.0+XXXX”という形式で設定してください。また、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。

(9)ssoSessionInfo

　SSOリポジトリに登録するユーザ情報と同様です。ユーザ情報のエントリを参照してください。

目次 索引