Interstage シングル・サインオンでは、次の2つの認証方式で利用者を認証することができます。これらの認証方式を組み合わせて運用することも可能です。
注)セションの管理を行わないシステムにおいては、ICカードを使用しない証明書認証も可能です。
なお、アクセスを制御するリソースに対して利用者ごとに認証方式を設定することができます。
利用者ごとの認証方式は、リポジトリサーバのSSOリポジトリで管理する“2.3.2.5 ユーザ情報のエントリ”の“ssoAuthType”の設定により切り替わります。
また、認証には再認証の間隔を設定することが可能です。再認証の間隔が設定されている場合、利用者は認証後から一定時間を経過すると再度、認証を求められます。この機能により、認証後に長時間離席した場合の第三者によるWebシステムの不正利用を防止することができます。
利用者をユーザID/パスワードにより認証する方式で、利用者が使用するコンピュータが不特定な場合に簡単に認証が行えます。
しかし、パスワード認証は簡単に認証が行える反面、パスワードが盗まれ、本人に成りすまされるという危険性があります。パスワードの管理には十分注意してください。
Interstage シングル・サインオンではパスワード認証を運用するにあたり、利用者がユーザID/パスワードを入力する画面として、フォーム認証ページを使用します。
ユーザID/パスワードの入力画面(注1) | 説明 | 以降の説明における表記 |
フォーム認証ページ | 認証用のフォームが埋め込まれたWebページ | フォーム認証 |
基本認証ダイアログ | Webブラウザ標準の認証画面 | 基本認証 |
注1)セションの管理を行わないシステムにおいてのみ、ユーザID/パスワードを入力する画面として基本認証ダイアログを使用することができます。ユーザID/パスワードの入力画面については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[パスワード認証]の[ユーザID/パスワードの入力画面]で設定できます。
利用者が業務システムにアクセスすると、フォーム認証の場合にはフォーム認証ページが、基本認証の場合には基本認証ダイアログが表示され、ユーザID/パスワードの入力を促されます。ユーザID/パスワードはSSOリポジトリにユーザ情報としてあらかじめ登録されている必要があり、それに一致するものを提示した利用者だけが認証に成功します。
また、フォーム認証の場合には、利用者はWebブラウザを使用して直接認証基盤のURLにアクセスし、認証を行います。
その後、利用者は業務システムにアクセスすることが可能となります。
認証基盤に直接アクセスして認証を行う場合は、以下のURLにアクセスするように利用者に指導してください。
認証基盤のURL/ssoatcag (注2)(注3) |
以降の説明では、上記のURLを“フォーム認証ページのURL”と呼びます。
注2)認証基盤のURLのポート番号は省略可能(443)であっても必ず指定してください。
注3)業務サーバ作成後に、認証基盤のURLを確認するには、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証基盤のURL]により確認してください。
認証基盤のURLが“https://authserver.fujitsu.com”の場合、フォーム認証ページのURLは以下のようになります
https://authserver.fujitsu.com:443/ssoatcag |
誤ったURLを指定した場合、以下の現象が発生し、認証が正しく行えない場合があります。
認証を行ったにもかかわらず、Webブラウザに「Waiting」が表示される、または、再度認証が要求されます。
SSL通信にてクライアント認証を使用している場合は、クライアント証明書の要求画面が複数回表示されます。
認証時にWebブラウザに以下のメッセージなどが表示され、システムのログにsso02012が出力されます。
“404 Not Found”
“ページを表示できません”
以下に、フォーム認証ページ例と各Webブラウザが基本認証のために表示する画面を示します。
なお、利用者においては、“ユーザID”は“ユーザ名”として扱われます。
フォーム認証ページの例
フォーム認証ページはカスタマイズすることが可能です。カスタマイズする方法については、“5.1 Webブラウザに表示するメッセージのカスタマイズ”を参照してください。
なお、POSTリクエストに対して認証を行う場合は、以下に示す未認証画面が表示されます。認証画面を表示するリンクをクリックすることで、新しいウィンドウに認証ページが表示され、認証することができます。
未認証画面はカスタマイズすることが可能です。カスタマイズする方法については、“5.1 Webブラウザに表示するメッセージのカスタマイズ”を参照してください。
未認証画面の例
Microsoft(R) Internet Explorer 6.0の基本認証画面
Mozilla(R) Firefox 3.5の基本認証画面
パスワード認証が基本認証で運用されている場合、利用者はWebブラウザなどを使用して認証基盤のURLに直接アクセスすることはできません。
利用者を証明書により認証する認証方式で、使用するコンピュータが特定される場合に便利です。
Interstage シングル・サインオンでは、ICカードに格納された証明書を使用して認証することができます。認証に必要な情報をICカードに格納して携帯することで、第三者に不正に使用されることを防ぐことができます。
この認証方式では、提示された証明書から利用者が特定できることで認証されたとみなします。
セションの管理を行うシステムにおいて証明書認証を行う場合は、認証サーバの環境定義ファイルに証明書認証を行うことを許可する設定が必要です。証明書認証を行うための設定については、“付録I セションの管理を行うシステムで証明書認証を行うための設定”を参照してください。
セションの管理を行わないシステムにおいては、利用者が使用するWebブラウザにあらかじめ証明書を登録しておくことで認証を行うことができます。この場合、利用者が業務システム、または認証基盤のURLにアクセスすると、Webブラウザから証明書の提示が促されます。
証明書認証を行うためには、SSLの環境設定でクライアント認証の設定を行う必要があります。クライアント認証の設定については、“2.4.1 SSL通信環境の構築”を参照してください。
Interstage シングル・サインオンの証明書認証では、提示された証明書の所有者名(Subject)や所有者別名(Subject Alternative Name)エクステンションに格納されている情報を参照して認証を行います。そのため、証明書には以下の情報のどれかが格納されている必要があります。
Interstage シングル・サインオンが参照する証明書の情報
メールアドレス(mail)
従業員番号(employeeNumber)
ユーザID(uid)
シリアル番号(serialNumber)
DN修飾子(dnQualifier)
氏名(cn)
証明書の所有者名(Subject)と所有者別名(Subject Alternative Name)エクステンションに同じ属性が設定されている場合には、次のようになります。
メールアドレス(mail)は、所有者別名(Subject Alternative Name)エクステンションに設定されている値が有効になります。
メールアドレス(mail)以外は、所有者名(Subject)に設定されている値が有効になります。
証明書の所有者や所有者別名の情報は、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]で設定する[証明書認証の動作]の[認証に使用する属性]により設定できます。
以下に、各Webブラウザの証明書認証時に表示される証明書選択画面を示します。Webブラウザに複数の証明書が登録されている場合は、どの証明書をWebサーバに提示するかをこの画面より選択します。
Webブラウザに登録している証明書が1つだけの場合は、証明書選択画面を表示せずに登録されている証明書を自動で使用することもできます。証明書選択画面の表示については、“1.4.5 証明書選択画面について”を参照してください。
なお、証明書をWebブラウザに登録する方法については、“セキュリティシステム運用ガイド”を参照してください。
Microsoft(R) Internet Explorer 6.0の証明書選択画面
Mozilla(R) Firefox 3.5の証明書選択画面
Interstage シングル・サインオンでは、Interstage証明書環境、およびSMEEコマンドによる証明書/鍵管理環境で使用可能な証明書をサポートしています。
詳細については“セキュリティシステム運用ガイド”を参照してください。
証明書認証で使用する証明書は、認証サーバで有効性を確認することができます。有効性の確認は、認証サーバに登録されているCRL(Certificate Revocation List)によって行われます。CRLは失効された証明書のリストで、CRLに記載されている証明書が提示された場合、認証は失敗します。
