ロールによる認可に必要な情報として、以下の情報をSSOリポジトリに登録する必要があります。
ロール定義
保護リソース
以下に、SSOリポジトリ内の各定義の例を示します。アクセス制御情報とは、ロール定義と保護リソースの双方を合わせたものです。
ロール定義
ロール定義には、使用するロール名/ロールセット名を登録します。
ロールは、利用者が業務システムにアクセスした際の認可に使用します。業務システムを利用する各利用者の所属や役割をもとに設計してください。「一般従業員」、「管理職」といった役職や「経理部」、「総務部」といった所属をロールとして作成する場合は、以下のように役職や所属に対応するロール名でSSOリポジトリに設定します。
また、組織の階層などにより複数のロールをまとめてロールセットとして作成し、リソース情報に設定することにより、組織変更時などに柔軟に対応できます。
Interstage シングル・サインオンは、ロールにより認可を実現しています。SSOリポジトリには必ずロール定義を行ってください。ロール定義を行わないと、リポジトリサーバが起動しません。
役職/所属 | ロール名 |
一般従業員 | employee |
幹部社員 | executives |
経理部 | finance department |
総務部 | administration department |
役職/所属 | ロールセット名 | 含まれるロール |
全社員 | all | employee、executives |
保護リソース
業務システムで公開するHTMLやCGIなどの資源(リソース)で、利用者のアクセスに認証・認可が必要となるリソースを保護リソースとして設定します。
保護リソースは、サイト定義とパス定義より構成されています。
業務システムのサイト名を定義します。サイト名は、FQDN+ポート番号の形式です。FQDN (Fully Qualified Domain Name)とは、ドメインも含んだホスト名のことです。
業務システムの公開URLが“https://www.fujitsu.com:443/index.html”の場合は、“www.fujitsu.com:443”がサイト名となります。
サイト定義で定義したサイトの、認証・認可の対象となるディレクトリ名、またはファイル名を指定します。ディレクトリ名を指定した場合(パスの最後に“/”を付加した場合)は、指定したディレクトリ配下の資源すべてが認証・認可の対象となります。
また、設定したディレクトリ/ファイルへのアクセスを許可するロール名やロールセット名を設定します。ロールやロールセットは複数設定できます。
パス定義の設定による認証・認可の仕様は次のとおりです。
パス定義に定義されていないディレクトリやフォルダにアクセスした場合
リソースを無条件に公開します。
ディレクトリやフォルダだけを設定し、それに対するロールやロールセットの定義が行われていない場合
認証された利用者にだけリソースを公開します。
ディレクトリやフォルダを設定し、それに対するロールやロールセットの定義が行われている場合
認証された利用者で、かつリソースへのアクセスが許可された利用者にだけリソースを公開します。
また、パス定義には、拡張ユーザ情報が設定できます。拡張ユーザ情報を設定することで、認証された利用者の情報をWebアプリケーションに通知することができます。拡張ユーザ情報については、“1.5.5 Webアプリケーションとの連携”を参照してください。
パス定義に設定したロール名やロールセット名がロール定義に定義されていない場合は、業務サーバにおいてアクセス制御情報の更新を行うことができません。また、パス定義に設定するロール名やロールセット名は、必ずロール定義に定義されたものを設定してください。
アクセス制御の対象とする必要のないパスが保護パスに設定されている場合、業務システムの保護リソースへのアクセス時、応答に時間がかかることがあります。アクセス制御の対象とする必要のあるパスのみ、保護パスの対象になるよう設定してください。